安全資訊

在中國，信息安全等級保護廣義上為涉及到該工作的標準、產(chǎn)品、系統、信息等均依據等級保護思想的安全工作；狹義上一般指信息系統（APP）安全等級保護。

互聯(lián)網(wǎng)時(shí)代，隨著(zhù)信息化進(jìn)程不斷推進(jìn)，網(wǎng)絡(luò )和信息系統的安全問(wèn)題愈加重要。一些企業(yè)和機構掌握著(zhù)大量公民隱私信息，一旦遭到網(wǎng)絡(luò )攻擊，便會(huì )造成十分嚴重的后果。而圍繞等保合規建設實(shí)現安全管理體系化，是當下中國企業(yè)全面提升安全防護能力的必要路徑和契機。
 

問(wèn)

為什么要做等級保護？

答

法律法規要求：《網(wǎng)絡(luò )安全法》第二十一條：國家實(shí)行網(wǎng)絡(luò )安全等級保護制度。網(wǎng)絡(luò )運營(yíng)者應當按照網(wǎng)絡(luò )安全等級保護制度的要求，履行下列安全保護義務(wù)，保障網(wǎng)絡(luò )免受干擾、破壞或者未經(jīng)授權的訪(fǎng)問(wèn)，防止網(wǎng)絡(luò )數據泄露或者被竊取、篡改。
行業(yè)要求：在金融、電力、廣電、醫療、教育等行業(yè)，主管單位明確要求從業(yè)機構的信息系統（APP）要開(kāi)展等級保護工作。
企業(yè)系統安全的需求：信息系統運營(yíng)、使用單位通過(guò)開(kāi)展等級保護工作可以發(fā)現系統內部的安全隱患與不足之處，可通過(guò)安全整改提升系統的安全防護能力，降低被攻擊的風(fēng)險。簡(jiǎn)單來(lái)說(shuō)，《網(wǎng)絡(luò )安全法》一直對網(wǎng)站、信息系統、APP有等級保護要求，中小型企業(yè)通常是行業(yè)要求才意識到問(wèn)題。
 

問(wèn)

信息安全等級保護測評的依據？

答

依據《信息系統安全等級保護基本要求》（公通字[2007]43號)》“等級保護的實(shí)施與管理”中的第十四條：信息系統建設完成后，運營(yíng)、使用單位或者其主管部門(mén)應當選擇符合本辦法規定條件的測評單位，依據《信息系統安全等級保護測評要求》等技術(shù)標準，定期對信息系統安全等級狀況開(kāi)展等級測評。

1

第一級：用戶(hù)自主保護級，目前1.0版本不需要去備案（提交材料公安部也會(huì )給備案證明），等保2.0是需要備案的；

2

第二級：系統審計保護級，二級信息系統為自主檢查或上級主管部門(mén)進(jìn)行檢查，建議時(shí)間為每?jì)赡隀z查一次；

3

第三級：安全標記保護級，三級信息系統應當每年至少進(jìn)行一次等級測評；

4

第四級：結構化保護級，四級信息系統應當每半年至少進(jìn)行一次等級測評；

5

第五級：訪(fǎng)問(wèn)驗證保護級，五級信息系統應當依據特殊安全需求進(jìn)行等級測評。
其中三級等保是國家對非銀行機構的最高級認證，屬于“監管級別”，由國家信息安全監管部門(mén)進(jìn)行監督、檢查。具體程序包括定級、備案、安全建設和整改、信息安全等級測評、信息安全檢查共五個(gè)階段。認證測評內容分別涵蓋5個(gè)等級保護安全技術(shù)要求和5個(gè)安全管理要求，包含信息保護、安全審計、通信保密等近300項要求，共涉及測評分類(lèi)73類(lèi)，要求十分嚴格。
對于企業(yè)來(lái)說(shuō)，最常見(jiàn)的誤區是把等保測評當成“應試”和負擔。事實(shí)上等保不是考試，不是為了應付，而是通過(guò)等保發(fā)現問(wèn)題、解決問(wèn)題，提高信息系統的安全防護能力。此外，等保只是網(wǎng)絡(luò )安全的手段而不是目的，是起點(diǎn)而不是終點(diǎn)。與安全能力同步建設和投資策略匹配的“合規”，才是高效實(shí)現“持續安全”和“動(dòng)態(tài)安全”的基礎。