什么行业需要做等级保护,等保保护有哪些步骤?
等级保护概念(信息安全等级保护)
对信息系统分等级进行安全保护和监管;对信息安全产品的使用实行分等级管理;对信息安全事件实行分等级响应、处置。将全国的信息系统(包括网络)按照重要性和受破坏后的危害性分成五个安全保护等级(从第一级到第五级逐级增高),定级后第二级以上系统到公安机关备案,公安机关审核合格后颁发备案证明;各单位各部门根据系统等级按照国家标准进行安全建设整改;聘请测评机构进行等级测评;公安机关定期开展监督、检查、指导。
《信息安全等级保护管理办法》规定,国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。信息系统的安全保护等级分为以下五级,一至五级等级逐级增高:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。国家信息安全监管部门对该级信息系统安全等级保护工作进行指导。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行强制监督、检查。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行专门监督、检查。
实施意义
法律法规要求:
《网络安全法》明确规定信息系统运营、使用单位应当按照网络安全等级保护制度要求,履行安全保护义务,如果拒不履行,将会受到相应处罚。
第二十一条:国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
2)行业要求
在金融、电力、广电、医疗、教育等行业,主管单位明确要求从业机构的信息系统(APP)要开展等级保护工作。
3)企业系统安全的需求
信息系统运营、使用单位通过开展等级保护工作可以发现系统内部的安全隐患与不足之处,可通过安全整改提升系统的安全防护能力,降低被攻击的风险。
你好,我国实行网络安全等级保护制度,网络运营单位都要按要求落实等级保护工作。什么是等级保护呢?简而言之,就是对信息和信息载体按照重要性等级分级别进行保护。就我国目前的情况而言,信息和信息载体的保护等级分为五个级别,从一到五级别逐渐升高。网络运营单位的信息和信息载体属于哪一个等级,就要按照这个等级的要求来做等级保护工作。
等级保护需要做哪些工作呢?
一般来说,等级保护工作包含定级、备案、安全建设、等级测评、监督检查五个环节,下面我将依照等保2.0标准,对三级等保办理流程做详细解读:
1、系统定级
等保办理的第一步是确定企业信息系统的安全保护等级。根据等保2.0定级指南,云计算、物联网、工业控制系统、采用移动互联技术的系统、通信网络设施以及数据资源等系统属于强制定级备案的范畴。其他团体,比如公益组织和中小私营企业,原则上也要进行定级备案。
同时,根据相关规定,定级对象具有以下三大基本特征:
①具有确定的主要安全责任主体;
②承载相对独立的业务应用;
③包含相互关联的多个资源。
如果企业的系统有以上特征,那么就算系统再小,也需要进行定级备案。简而言之,互联网上的系统差不多都要进行定级备案。
那么,等保定级究竟怎么定呢?根据等级保护相关管理文件,等级保护对象的安全保护等级一共分五个级别,从一到五级别逐渐升高。等级保护对象的级别由两个定级要素决定:①受侵害的客体;②对客体的侵害程度。对于关键信息基础设施,“定级原则上不低于三级”,且第三级及以上信息系统每年或每半年就要进行一次测评。
定级流程:确定定级对象→初步确定等级→专家评审→主管部门审批→公安机构备案审查→最终确定的级别。
2、系统备案
根据《网络安全法》规定:
①已运营(运行)的第二级以上信息系统,应当在安全保护等级确定后30日内(等保2.0相关标准已将备案时限修改为10日内),由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
②新建第二级以上信息系统,应当在投入运行后30日内(等保2.0相关标准已将备案时限修改为10日内),由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
③隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部办理备案手续。
④跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,应当向当地设区的市级以上公安机关备案。
企业最终确定保护对象的级别以后,就可以到公安机关进行备案。备案所需材料主要是《信息安全等级保护备案表》,不同级别的信息系统需要的备案材料有所差异。第三级以上信息系统需提供以下材料:(一)系统拓扑结构及说明;(二)系统安全组织机构和管理制度;(三)系统安全保护设施设计实施方案或者改建实施方案;(四)系统使用的信息安全产品清单及其认证、销售许可证明;(五)测评后符合系统安全保护等级的技术检测评估报告;(六)信息系统安全保护等级专家评审意见;(七)主管部门审核批准信息系统安全保护等级的意见。
3、安全建设(整改)
等级保护整改是等保建设的其中一个环节,指按照等级保护建设要求,对信息和信息系统进行的网络安全升级,包括技术层面整改和管理层面整改。整改的最终目的就是为了提高企业信息系统的安全防护能力,让企业可以成功通过等级测评。
等级保护整改没有什么资质要求,只要公司可以按照等级保护要求来进行相关网络安全建设,由谁来实施,是没有要求的。但由于目前企业网络安全人才紧缺,企业很多时候都需要寻找专业的网络安全服务公司来进行整改。
整改主要分为管理整改和技术整改。管理整改主要包括:明确主管领导和责任部门,落实安全岗位和人员,对安全管理现状进行分析,确定安全管理策略,制定安全管理制度等。其中,安全管理策略和制度又包括人员安全管理事件处置、应急响应、日常运行维护设备、介质管理安全监测等。
技术整改主要是指企业部署和购买能够满足等保要求的产品,比如网页防篡改、流量监测、网络入侵监测产品等。
4、等级测评
等级测评指经公安部认证的具有资质的测评机构,依据国家信息安全等级保护规范规定,受有关单位委托,按照有关管理规范和技术标准,对信息系统安全等级保护状况进行检测评估的活动。
根据规定,对信息系统安全等级保护状况进行的测试应包括两个方面的内容:一是安全控制测评,主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况;二是系统整体测评,主要测评分析信息系统的整体安全性。其中,安全控制测评是信息系统整体安全测评的基础。
二级及以上的信息系统都要做等级测评,且等级测评得分要在70分以上,并且没有高风险项才算通过。等级测评结束后,测评机构会出具测评报告。企业需要把测评报告提交给公安机关,才算真正落实了等级保护工作。
5、监督检查
企业要接受公安机关不定期的监督和检查,对公安机关提出的问题予以改进。
哪些行业需要做等保?
1、政府机关:各大部委、各省级政府机关、各地市级政府机关、各事业单位等
2、金融行业:金融监管机构、各大银行、证券、保险公司等
3、医疗行业:医院、互联网医院、疾病控制中心、计划生育机构、医疗卫生研究机构等
4、教育行业:高校、职校、普教等,211,985大学必须做等保,互联网+教育如学生管理系统、学校网站等
5、电信行业:各大电信运营商、各省电信公司、各地市电信公司、各类电信服务商等
6、能源行业:电力公司、石油公司、烟草公司等
7、交通行业:道路客运联网售票、路网监测与出行服务平台、网络货运平台、打车软件、网约车等
8、企业单位:大中型企业、央企、上市公司等
等保保护步骤?
第一步,定级
系统定级是等保工作的第一步,我们都知道,等级保护基本要求一共分为五个级别,如果不确定系统等级,就无法选择哪种等级要求进行等保工作。定级过程包括:“确定定级对象 —> 初步确定等级 —> 专家评审 —> 主管部门审核 —> 公安机关备案审查 —> 最终确定等级” 这种线性的定级流程,等保2.0之后,系统定级必须经过专家评审和主管部门审核,才能到公安机关备案。
第二步,备案
系统级别确定之后需要把定级材料提交到市一级的公安机关网安部门办理备案手续。备案成功后,由当地网安部门颁发《备案证明》。备案证明信息包括:单位名称、系统名称、系统级别等信息。拿到 “备案证明” 便确定了系统的级别。
第三步,建设整改
备案成功后,对已有的信息系统,其运营、使用单位根据已经确定的信息安全保护等级,按照等级保护的管理规范和技术标准,采购和使用相应等级的信息安全产品,建设安全设施,落实安全技术措施,完成系统整改。
第四步,等级测评
建设整改后,测评机构依据国家网络安全等级保护制度规定,按照有关管理规范和技术标准,对被测评系统系统进行测试、评估,验证系统是否符合等级保护安全要求,并出具《等级测评报告》。
第五步,监督检查
测评完成后,被测评单位将等级测评报告递交到市一级公安机关网安部门,网安部门接收测评报告后,测评工作完成。公安机关网安部门负责对等级保护网络的监督、检查、指导工作。
如需等保测评服务,可后台私信联系。陆陆信息科技,整合云安全产品的技术优势,联合优质等保咨询、等保测评合作资源,提供等保项目的一站式服务,全面覆盖等保定级、备案、建设整改以及测评阶段,高效通过等保测评,落实网络安全等级保护工作。
下面这些行业是必须要做等保,并且需要通过等保
金融行业:保险、证券、银行、网贷、金融监管机构等;
能源行业:电力公司、石油公司、新能源公司等;
企业单位:大中型企业、央企、国企、上市公司;
政府机关单位:各部门、各省级地方 级政府机关、个事业单位等;
电信行业:电信运营商、各省级电信公司、个地方级电信公司,各类设计电信服务的服务商;
其他:有需求或者网监特别规定的要求定级的企业。
等级保护步骤分为:定级、备案、整改、测评、监督检查
信息系统安全保护等级分为以下五个等级:第一个等级,当信息系统受到破坏时,会损害公民、法人和其他组织的合法权益,但不会损害国家安全、社会秩序和公共利益。运营和使用一级信息系统的单位应当按照国家有关管理规范和技术标准进行保护。二是信息系统遭到破坏,将严重损害公民、法人和其他组织的合法权益,或者社会秩序、公共利益,但不损害国家安全。国家信息安全监管部门对本级信息系统的安全等级保护进行指导。第三,信息系统被破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。国家信息安全监管部门应当对本级信息系统的安全等级保护进行监督检查。第四,信息系统被破坏后,会对社会秩序和公共利益造成特别严重的损害,或者对国家安全造成严重损害。国家信息安全监管部门应当对本级信息系统的安全等级保护实施强制监督检查。第五,信息系统被破坏后,会对国家安全造成特别严重的损害。国家信息安全监管部门对信息系统安全保护水平进行专项监督检查。企业申请等级保护备案的原因:1。通过等级保护工作,发现单位信息系统的隐患和不足。安全整改后,提高了信息系统的信息安全防护能力,降低了系统遭受各种攻击的风险,维护了单位的良好形象。2.等级保护是中国信息安全的基本政策。国家法律法规和相关政策制度要求单位开展等级保护工作。如《网络安全等级保护管理办法》、《中华人民共和国网络安全法》等。3.许多行业主管部门要求行业客户进行等级保护工作。目前已发布行业要求文件的行业有:金融、电力、广电、医疗、教育等行业。落实个人和单位的网络安全保护义务,合理规避风险。
二级系统主要是以下系统:区县级重要信息系统、地市级和省级一般信息系统,其中一般信息系统是指不涉及敏感信息或重要信息的信息系统,这些系统可归为二级系统;三级系统主要包括以下系统:省级单位门户网站、地级市影响力比较大的单位门户网站、地级市及以上重要业务网站需要划分为三级;涉及工作秘密、敏感信息、重要信息的地市级及以上的办公系统,管理系统需要定为三级,各省市用于生产、调度、管理、指挥的跨省分支系统需要定为三级,跨省网络系统需要定为三级(这一般是在全国范围内运行的专网系统)。建议先咨询专业机构,具体分析比较靠谱。
什么行业需要做等级保护,等保保护有哪些步骤?
4、教育行业:高校、职校、普教等,211,985大学必须做等保,互联网+教育如学生管理系统、学校网站等 5、电信行业:各大电信运营商、各省电信公司、各地市电信公司、各类电信服务商等 6、能源行业:电力公司、石油公司、烟草公司等 7、交通行业:道路客运联网售票、路网监测与出行服务平台、网络货运平台、...
信息安全等级保护适用哪些行业-天磊咨询?
1、教育(互联网教育):需要完成ICP、等保备案、测评报告,三者缺一不可;2、医疗(互联网医疗):各大医院系统需要做等保,互联网医疗要想上线取的上诊疗资质,需要过等保;3、快递行业:不做等保不给换许可证;4、金融(互联网金融):不做等保不允许经营,监管严格;5、物联网:行业或甲方要求需...
什么是信息安全等级保护?什么是等保?
政府机关:包括部委、省级、市级政府及事业单位金融行业:金融监管机构、银行、证券、保险公司等电信行业:电信运营商、各省电信公司及服务提供商能源行业:电力、石油和烟草公司企业单位:大中型企业、央企和上市公司其他有信息系统安全需求的行业和单位总之,信息安全等级保护是针对不同行业和信息系统的重要安全...
等级保护一般做几级的?-天磊咨询
等级保护一般做二级或三级的比较多,像教育(互联网教育)、 医疗(互联网医疗)、快递行业、 金融(互联网金融)、 物联网、 能源、通信、交通行业、云 、软件开发 、工业数据安全、大数据 、征信行业、 酒店行业 、政府机关、企事业单位、央企是需要办理等保。贵司是做物流的,属于快递行业,是...
网络安全等保测评是什么?有哪些行业机构需要做?
四、医疗行业 (各大医院网上系统必须做等保,互联网医疗想取得线上诊疗资质,就需要有等保才可以,当然医疗、消防、紧急救援这些 社会 应急服务系统也是需要做等保测评的。)那有哪些行业机构是上级主管部门要求一定要做的呢?一、通信行业(各大电信运营商、电信公司等)二、交通行业(航空,公路、铁路、...
三级安全等保需要多少钱
级别越高,要求越严格。三级等保指信息系统经过定级、备案这一流程之后,确定为第三级的信息系统,那么就需要做三级等保。在我国,“三级等保”是对非银行机构的最高等级保护认证,一般定级为等保三级的系统有互联网医院平台、P2P金融平台、网约车平台、云(服务商)平台和其他重要系统。
信息系统安全等级保护认证有什么用?
3、很多行业主管单位要求行业客户开展等级保护工作,目前已经下发行业要求文件的有:金融、电力、广电、医疗、教育等行业,还有一些主管单位发过相关文件或通知要求去做。4、落实个人及单位的网络安全保护义务,合理规避风险。如需等保测评服务,可后台私信联系。陆陆信息科技,整合云安全产品的技术优势,联合...
等保三级是什么意思?
三级等保是我国信息产品等级资格认证,企业从事一些涉及用户信息以及敏感类信息活动,是需要办理三级等保的,例如金融理财、物流、医疗等企业,如果系统内容有涉及用户资料信息的,就必须进行三级等保认证才可以开展经营相关活动。等保三级认证是由公安机关,依据国家信息安全保护条例及相关制度规定,按照相应的管理...
等级保护怎么搞?一定要做吗?
3、很多行业主管单位要求行业客户开展等级保护工作,目前已经下发行业要求文件的有:金融、电力、广电、医疗、教育等行业等。4、落实个人及单位的网络安全保护义务,合理规避风险。等级保护一共分为五个阶段:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、...
等保三级认证费用
三级等保指信息系统经过定级、备案这一流程之后,确定为第三级的信息系统,那么就需要做三级等保。在我国,“三级等保”是对非银行机构的最高等级保护认证,一般定级为等保三级的系统有互联网医院平台、P2P金融平台、网约车平台、云(服务商)平台和其他重要系统。这一认证由公安机关依据国家信息安全保护条例...
权响强斯: 你要是一个纯粹浏览的网站,就没有必要了.要是能交易的网站,购物的网站,要做个等级保护的.
土默特左旗17077608500: 中国信息保护等级保护能力是什么?保护的对象是那些? - ?
权响强斯: 能力就是保护信息系统达到相应等级的安全,是依照《信息安全等级保护基本要求》这个标准,按照相应等级需要达到的安全要求进行保护,保护对象就是信息系统.信息系统不用解释了吧,大的信息系统比如电力生产管理系统,小的系统比如一个小馆子的电脑点菜、或者开发票的系统.
土默特左旗17077608500: 什么是信息安全、等级保护以及风险评估? - ?
权响强斯: 一、什么是信息安全? 信息安全主要包括以下五方面的内容,即需保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性.信息安全本身包括的范围很大,其中包括如何防范商业企业机密泄露、防范青少年对不良信息的浏览、...
土默特左旗17077608500: 信息安全等级保护业务怎么开展 - ?
权响强斯: 首先要明白: 为什么要开展等级保护工作呢? 第一、开展等保的最重要原因是通过等级保护工作,发现单位信息系统与国家安全标准之间存在的差距,查明目前系统存在的安全隐患和不足,通过安全整改之后,提高信息系统的信息安全防护能...
土默特左旗17077608500: 保险行业需要等级保护测评么 - ?
权响强斯: 需要,保险业的信息系统牵扯到很多公民的投保信息、保险金,如果数据被篡改或资金被窃取,那是非常严重的事情,对社会和公众利益造成严重损害,按理来说应该按3级信息系统来定级、测评
土默特左旗17077608500: 我国信息安全保护等级主要有几级? ?
权响强斯: 主要有四级:第一级适用于小型私营、个体企业、中小学、乡镇所属信息系统、县级单位中一般的信息系统;第二级适用于县级某些单位中的重要信息系统,地市级以上国家机关、企事业单位内部一般的信息系统;第三级适用于地市级以上国家机关、企业、事业单位内部重要的信息系统;第四级一般适用于国家重要领域、部门中涉及国计民生、国家利益、国家安全,影响社会稳定的核心系统.
土默特左旗17077608500: 做等保有哪些步骤??
权响强斯: 等保通常需要5个步骤:1.定级(企业自主定级-专家评审-主管部门审核-公安机关审核)2.备案(企业提交备案材料-公安机关审核-发放备案证明)3.测评(等级测评-三级每年测评一次)4.建设整改(安全建设-安全整改)5.监督检查(公安机关每...
土默特左旗17077608500: 等级保护怎么搞?一定要做吗? - ?
权响强斯: 题主问的应该是信息安全等级保护吧… 这东西之前各地有自己的管理条例,今年6月1日《中华人民共和国网络安全法》正式生效,从国家层面用法律手段进一步规范了这个“等级保护”.如果贵司的信息系统出现问题(意外宕机、被攻击、数...
