網(wǎng)絡(luò)安全等級(jí)保護(hù)基礎(chǔ)知識(shí)

網(wǎng)絡(luò)安全等級(jí)保護(hù)基礎(chǔ)知識(shí)

　　2019年12月1日，網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0開(kāi)始實(shí)施。到今年為止，網(wǎng)絡(luò)安全等級(jí)保護(hù)制度在我國(guó)已實(shí)施了十多年，但大部分人對(duì)等保制度的理解還只是停留在表面，對(duì)等保制度的很多內(nèi)容有不少誤解。下面是小編為大家整理的網(wǎng)絡(luò)安全等級(jí)保護(hù)基礎(chǔ)知識(shí)，僅供參考，歡迎閱讀。

　　什么是網(wǎng)絡(luò)安全等級(jí)保護(hù)

　　網(wǎng)絡(luò)安全等級(jí)保護(hù)是國(guó)家網(wǎng)絡(luò)安全保障的基本制度、基本策略、基本方法。開(kāi)展網(wǎng)絡(luò)安全等級(jí)保護(hù)工作是保護(hù)信息化發(fā)展、維護(hù)網(wǎng)絡(luò)安全的根本保障，是網(wǎng)絡(luò)安全保障工作中國(guó)家意志的體現(xiàn)。

　　網(wǎng)絡(luò)安全等級(jí)保護(hù)工作包括定級(jí)、備案、建設(shè)整改、等級(jí)測(cè)評(píng)、監(jiān)督檢查五個(gè)階段。定級(jí)對(duì)象建設(shè)完成后，運(yùn)營(yíng)、使用單位或者其主管部門(mén)應(yīng)當(dāng)選擇符合國(guó)家要求的測(cè)評(píng)機(jī)構(gòu)，依據(jù)《網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》等技術(shù)標(biāo)準(zhǔn)，定期對(duì)定級(jí)對(duì)象安全等級(jí)狀況開(kāi)展等級(jí)測(cè)評(píng)。

　　實(shí)施意義

　　●合法要求：

　　滿(mǎn)足合法合規(guī)要求，清晰化責(zé)任和工作方法，讓安全貫穿全生命周期。

　　●體系建設(shè)：

　　明確組織整體目標(biāo)，改變以往單點(diǎn)防御方式，讓安全建設(shè)更加體系化。

　　●等級(jí)防護(hù)：

　　提高人員安全意識(shí)，樹(shù)立等級(jí)化防護(hù)思想，合理分配網(wǎng)絡(luò)安全投資。

　　法律要求

　　《中華人民共和國(guó)網(wǎng)絡(luò)安全法》【第二十一條】國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求，履行下列安全保護(hù)義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問(wèn)，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。法律解讀：國(guó)家明確實(shí)行等級(jí)保護(hù)制度，網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)按等級(jí)保護(hù)要求開(kāi)展網(wǎng)絡(luò)安全建設(shè)。

　　《中華人民共和國(guó)網(wǎng)絡(luò)安全法》【第三十一條】國(guó)家對(duì)公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能?chē)?yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)。關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍和安全保護(hù)辦法由國(guó)務(wù)院制定。（關(guān)鍵信息基礎(chǔ)設(shè)施必須落實(shí)國(guó)家等級(jí)保護(hù)制度，突出保護(hù)重點(diǎn)）法律解讀：關(guān)鍵信息基礎(chǔ)設(shè)施必須要落實(shí)等級(jí)保護(hù)制度，并要重點(diǎn)保護(hù)。

　　網(wǎng)絡(luò)安全等級(jí)保護(hù)工作具體包含哪些內(nèi)容？

　　根據(jù)信息系統(tǒng)等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)，等級(jí)保護(hù)工作總共分五個(gè)階段，分別為：

　　1）是信息系統(tǒng)定級(jí)。

　　2）是信息系統(tǒng)備案。

　　3）是系統(tǒng)安全建設(shè)。

　　4）是信息系統(tǒng)開(kāi)始等級(jí)測(cè)評(píng)。

　　5）主管單位定期開(kāi)展監(jiān)督檢查。

　　為什么要開(kāi)展網(wǎng)絡(luò)安全等級(jí)保護(hù)工作？

　　1）通過(guò)等級(jí)保護(hù)工作發(fā)現(xiàn)單位信息系統(tǒng)存在的安全隱患和不足，進(jìn)行安全整改之后，提高信息系統(tǒng)的信息安全防護(hù)能力，降低系統(tǒng)被各種攻擊的風(fēng)險(xiǎn)，維護(hù)單位良好的形象。

　　2）等級(jí)保護(hù)是我國(guó)關(guān)于信息安全的基本政策，國(guó)家法律法規(guī)、相關(guān)政策制度要求單位開(kāi)展等級(jí)保護(hù)工作。如《信息安全等級(jí)保護(hù)管理辦法》和《中華人民共和國(guó)網(wǎng)絡(luò)安全法》。

　　3）很多行業(yè)主管單位要求行業(yè)客戶(hù)開(kāi)展等級(jí)保護(hù)工作，目前已經(jīng)下發(fā)行業(yè)要求文件的有：金融、電力、廣電、醫(yī)療、教育等行業(yè)，還有一些主管單位發(fā)過(guò)相關(guān)文件或通知要求去做。

　　4）落實(shí)個(gè)人及單位的網(wǎng)絡(luò)安全保護(hù)義務(wù)，合理規(guī)避風(fēng)險(xiǎn)。

　　等級(jí)保護(hù)的五個(gè)級(jí)別

　　第一級(jí) 自主保護(hù)級(jí)：（無(wú)需備案，對(duì)測(cè)評(píng)周期無(wú)要求）此類(lèi)信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成一般損害，不損害國(guó)家安全、社會(huì)秩序和公共利益。

　　第二級(jí) 指導(dǎo)保護(hù)級(jí):（公安部門(mén)備案，建議兩年測(cè)評(píng)一次）此類(lèi)信息系統(tǒng)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成嚴(yán)重?fù)p害。會(huì)對(duì)社會(huì)秩序、公共利益造成一般損害，不損害國(guó)家安全。

　　第三級(jí) 監(jiān)督保護(hù)級(jí)：（公安部門(mén)備案，要求每年測(cè)評(píng)一次）此類(lèi)信息系統(tǒng)受到破壞后，會(huì)對(duì)國(guó)家安全、社會(huì)秩序造成損害，對(duì)公共利益造成嚴(yán)重?fù)p害，對(duì)公民、法人和其他組織的合法權(quán)益造成特別嚴(yán)重的損害。

　　第四級(jí) 強(qiáng)制保護(hù)級(jí)：（公安部門(mén)備案，要求半年一次）此類(lèi)信息系統(tǒng)受到破壞后，會(huì)對(duì)國(guó)家安全造成嚴(yán)重?fù)p害，對(duì)社會(huì)秩序、公共利益造成特別嚴(yán)重?fù)p害。

　　第五級(jí) 專(zhuān)控保護(hù)級(jí)：（公安部門(mén)備案，依據(jù)特殊安全需求進(jìn)行）此類(lèi)信息系統(tǒng)受到破壞后會(huì)對(duì)國(guó)家安全造成特別嚴(yán)重?fù)p害。

　　國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)框架

　　對(duì)企業(yè)系統(tǒng)安全的需求

　　信息系統(tǒng)運(yùn)營(yíng)、使用單位通過(guò)開(kāi)展等級(jí)保護(hù)工作可以發(fā)現(xiàn)系統(tǒng)內(nèi)部的安全隱患與不足之處，可通過(guò)安全整改提升系統(tǒng)的安全防護(hù)能力，降低被攻擊的風(fēng)險(xiǎn)。

　　等級(jí)保護(hù)對(duì)象

　　網(wǎng)絡(luò)安全等級(jí)保護(hù)工作流程是怎樣的

　　一、定級(jí)

　　信息系統(tǒng)運(yùn)營(yíng)使用單位按照等級(jí)保護(hù)管理辦法和定級(jí)指南，自主確定信息系統(tǒng)的安全保護(hù)等級(jí)。有上級(jí)主管部門(mén)的，應(yīng)當(dāng)經(jīng)上級(jí)主管部門(mén)審批�？缡』蛉珖�(guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng)可以由其主管部門(mén)統(tǒng)一確定安全保護(hù)等級(jí)。雖然說(shuō)的是自主定級(jí)，但主要還是根據(jù)系統(tǒng)實(shí)際情況去定級(jí)，有行業(yè)指導(dǎo)文件的根據(jù)指導(dǎo)文件來(lái)，沒(méi)有文件的需要根據(jù)定級(jí)指南來(lái)，總之一句話(huà)合理定級(jí)，該是幾級(jí)就是幾級(jí)，不要定的高也不要定的低。

　　二、備案

　　第二級(jí)以上信息系統(tǒng)定級(jí)市級(jí)單位到所在地社區(qū)的市級(jí)以上公安機(jī)關(guān)辦理備案手續(xù)。省級(jí)單位到省公安廳網(wǎng)安總隊(duì)備案，各地市單位一般直接到市級(jí)網(wǎng)安支隊(duì)備案，也有部分地市區(qū)縣單位的定級(jí)備案資料是先交到區(qū)縣網(wǎng)監(jiān)大隊(duì)的，具體根據(jù)各地市要求來(lái)。

　　三、系統(tǒng)安全建設(shè)

　　信息系統(tǒng)安全保護(hù)等級(jí)確定后，運(yùn)營(yíng)使用單位按照管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，選擇管理辦法要求的信息安全產(chǎn)品，建設(shè)符合等級(jí)要求的信息安全設(shè)施，建立安全組織，制定并落實(shí)安全管理制度。

　　四、等級(jí)測(cè)評(píng)

　　信息系統(tǒng)建設(shè)完成后，運(yùn)營(yíng)使用單位選擇符合管理辦法要求的檢測(cè)機(jī)構(gòu)，對(duì)信息系統(tǒng)安全等級(jí)狀況開(kāi)展等級(jí)測(cè)評(píng)。測(cè)評(píng)完成之后根據(jù)發(fā)現(xiàn)的安全問(wèn)題及時(shí)進(jìn)行整改，特別是高危風(fēng)險(xiǎn)。測(cè)評(píng)的結(jié)論分為：不符合、基本符合、符合。當(dāng)然符合基本是不可能的，那是理想狀態(tài)。

　　五、監(jiān)督檢查

　　公安機(jī)關(guān)依據(jù)信息安全等級(jí)保護(hù)管理規(guī)范及《網(wǎng)絡(luò)安全法》相關(guān)條款，監(jiān)督檢查運(yùn)營(yíng)使用單位開(kāi)展等級(jí)保護(hù)工作，定期對(duì)信息系統(tǒng)進(jìn)行安全檢查。運(yùn)營(yíng)使用單位應(yīng)當(dāng)接受公安機(jī)關(guān)的安全監(jiān)督、檢查、指導(dǎo)，如實(shí)向公安機(jī)關(guān)提供有關(guān)材料。

　　其中定級(jí)、備案工作原則上是由用戶(hù)單位自己填寫(xiě)定級(jí)備案表交給網(wǎng)監(jiān)部門(mén)去進(jìn)行備案工作，但考慮到實(shí)際情況，絕大多數(shù)情況下都是用戶(hù)單位在測(cè)評(píng)機(jī)構(gòu)的協(xié)助下完成這些工作。系統(tǒng)安全建設(shè)和等級(jí)測(cè)評(píng)的工作不一定要嚴(yán)格按照這個(gè)順序開(kāi)展，可以先測(cè)評(píng)再整改，也可以先建設(shè)再測(cè)評(píng)。具體還是根據(jù)自身實(shí)際情況來(lái)辦。注：選擇的測(cè)評(píng)機(jī)構(gòu)很重要，測(cè)評(píng)機(jī)構(gòu)的權(quán)威性，測(cè)評(píng)質(zhì)量直接關(guān)系到單位信息系統(tǒng)后期整改內(nèi)容，提前發(fā)現(xiàn)問(wèn)題提前整改，可以有效降低被攻擊的風(fēng)險(xiǎn)，提高信息安全防護(hù)能力。

　　等級(jí)保護(hù)測(cè)評(píng)有哪些技術(shù)類(lèi)型？具體指標(biāo)如何？

　　等級(jí)保護(hù)主要從技術(shù)要求和管理要求兩方面進(jìn)行綜合測(cè)評(píng)，而根據(jù)等級(jí)保護(hù)測(cè)評(píng)的三種不同技術(shù)類(lèi)型，其測(cè)評(píng)的指標(biāo)要求也有所不同。

　　等保測(cè)評(píng)并非相當(dāng)于ISO 20000系列的信息技術(shù)服務(wù)管理認(rèn)證，也并非于ISO27000系列的信息安全管理體系認(rèn)證。等級(jí)保護(hù)制度是國(guó)家信息安全管理的制度，是國(guó)家意志的體現(xiàn)。落實(shí)等級(jí)保護(hù)制度為了國(guó)家法律法規(guī)的合規(guī)需求。很多人認(rèn)為，完成等保測(cè)評(píng)就萬(wàn)事大吉。其實(shí)，等保制度只是基線的要求，通過(guò)測(cè)評(píng)、整改，落實(shí)等級(jí)保護(hù)制度，確實(shí)可以規(guī)避大部分的安全風(fēng)險(xiǎn)。但就目前的測(cè)評(píng)結(jié)果來(lái)看，幾乎沒(méi)有任何一個(gè)被測(cè)系統(tǒng)能全部滿(mǎn)足等保要求。一般情況下，目前等保測(cè)評(píng)過(guò)程中，只要沒(méi)發(fā)現(xiàn)高危安全風(fēng)險(xiǎn)，都可以通過(guò)測(cè)評(píng)。但是，安全是一個(gè)動(dòng)態(tài)而非靜止的過(guò)程，而不是通過(guò)一次測(cè)評(píng)，就可以一勞永逸的。企業(yè)通過(guò)落實(shí)等保安全要求，并嚴(yán)格執(zhí)行各項(xiàng)安全管理的規(guī)章制度，基本能做到系統(tǒng)的安全穩(wěn)定運(yùn)行。但依然不能百分百保證系統(tǒng)的安全性。因此，更重要是提升企業(yè)安全防護(hù)能力，及時(shí)把工作做到位。

【網(wǎng)絡(luò)安全等級(jí)保護(hù)基礎(chǔ)知識(shí)】相關(guān)文章：

信息安全等級(jí)保護(hù)測(cè)評(píng)報(bào)告（精選5篇）11-17

保護(hù)網(wǎng)絡(luò)安全倡議書(shū)02-18

全國(guó)計(jì)算機(jī)等級(jí)考試二級(jí)公共基礎(chǔ)知識(shí)試題及答案08-29

醫(yī)院網(wǎng)絡(luò)信息安全等級(jí)保護(hù)制度（通用8篇）09-25

信息安全等級(jí)保護(hù)測(cè)評(píng)報(bào)告范文（通用14篇）11-22

網(wǎng)絡(luò)安全信息保護(hù)管理規(guī)章制度01-31

醫(yī)院等級(jí)證明03-10

醫(yī)院信息系統(tǒng)安全等級(jí)保護(hù)工作實(shí)施方案02-21

工傷等級(jí)鑒定的申請(qǐng)03-28