安全資訊

今天總結下關(guān)于等級保護工作的一些基礎性知識，方便大家對等級保護工作有個(gè)快速的認識和了解。

一、什么是等級保護？

答：網(wǎng)絡(luò )安全等級保護是指對國家重要信息、法人和其他組織及公民的專(zhuān)有信息以及公開(kāi)信息和存儲、傳輸、處理這些信息的信息系統分等級實(shí)行安全保護，對信息系統中使用的信息安全產(chǎn)品實(shí)行按等級管理，對信息系統中發(fā)生的信息安全事件分等級響應、處置。

解讀：等級保護是對專(zhuān)有信息及信息系統進(jìn)行分等級保護，對其中的信息安全產(chǎn)品進(jìn)行按等級管理，對發(fā)現的安全事件分等級響應和處置。兩個(gè)對象，三重管理。
 
二、等級保護工作具體步驟是怎樣的？

答：根據信息系統等級保護相關(guān)標準，等級保護工作總共分五個(gè)階段，分別為：1）是信息系統定級；2）是信息系統備案；3）是系統安全建設；4）是信息系統開(kāi)始等級測評；5）主管單位定期開(kāi)展監督檢查。

解讀：系統定級和備案工作是等級保護工作開(kāi)展的前提，也是等級保護工作最先要做的內容，系統安全建設可以先做也可以在等級測評之后再進(jìn)行，第三和第四步?jīng)]有嚴格意義上的先后順序之分。
 
三、開(kāi)展等級保護工作的相關(guān)法律法規或文件要求？

答：《國家信息化領(lǐng)導小組關(guān)于加強信息安全保障工作的意見(jiàn)》（中辦發(fā)[2003]27號）明確要求我國信息安全保障工作實(shí)行等級保護制度;《信息安全等級保護管理辦法》的通知（公通字[2007]43號）具體部署了實(shí)施信息安全等級保護工作的操作辦法;《關(guān)于推動(dòng)信息安全等級保護測評體系建設和開(kāi)展等級測評工作的通知》（公信安[2010]303號）加快推動(dòng)了等級保護工作的發(fā)展；《中華人民共和國網(wǎng)絡(luò )安全法》第21條明確了國家實(shí)行網(wǎng)絡(luò )安全等級保護制度。

解讀：網(wǎng)絡(luò )安全法的出臺將等級保護工作以法律形式確定下來(lái)，等級保護工作至此以法律的形式確定為國家網(wǎng)絡(luò )安全的基本網(wǎng)絡(luò )安全制度，不開(kāi)展等級保護工作就是在違法，大家一定要認識到問(wèn)題的嚴重性。
 
四、等級保護分為幾個(gè)等級？

答：分為五個(gè)等級，分別為第一級（自主保護級）、第二級（指導保護級）、第三級（監督保護級）、第四級（強制保護級）、第五級（專(zhuān)控保護級）。系統的重要程度從1-5級逐級升高。

我們在日常工作中需要進(jìn)行等級保護測評的系統是2-4級，經(jīng)常遇到的是二級和三級信息系統，一級系統要求比較低，不需要進(jìn)行測評，如果某個(gè)系統達到五級系統，那么這個(gè)系統很可能就已經(jīng)涉密了，就不是等級保護范疇了，所以在技術(shù)要求里也沒(méi)有五級的相關(guān)標準要求。

五、去哪里進(jìn)行信息系統的定級備案工作？

答：全國絕大部分地方規定：各地級市的單位將定級資料交給各自地級市的網(wǎng)安支隊，省級單位將資料交給省公安網(wǎng)安總隊，特定行業(yè)有要求的另說(shuō)，也有部分地方是先將資料交到區縣網(wǎng)安大隊，再由區縣網(wǎng)安大隊轉交地級市網(wǎng)安支隊進(jìn)行備案。
解讀：系統定級資料填寫(xiě)完成之后打印兩份，首頁(yè)蓋章，電子檔準備一份，帶著(zhù)這些資料去當地公安網(wǎng)安部門(mén)進(jìn)行系統備案，至于到底是哪個(gè)網(wǎng)安請根據各地的要求，省、市、區縣都有可能。
 
六、什么是等級保護測評？

答：等級保護測評指的是等級測評機構依據國家信息安全等級保護制度規定，按照有關(guān)管理規范和技術(shù)標準，對非涉及國家秘密信息系統安全等級保護狀況進(jìn)行檢測評估的活動(dòng)。
解讀：測評的主體是測評機構，測評的對象是非涉密的信息系統。
 
七、信息系統的測評多久需要測一次？

答：四級信息系統要求每半年至少開(kāi)展一次測評；三級信息系統要求每年至少開(kāi)展一次測評；二級信息系統一般每?jì)赡觊_(kāi)展一次測評，時(shí)間上沒(méi)有強制要求，部分行業(yè)有行業(yè)標準要求，如教育行業(yè)明確二級系統兩年做一次測評。

解讀：二級系統為什么建議是兩年呢？一、系統相對三級沒(méi)那么重要，所以時(shí)間上相對長(cháng)點(diǎn)；二、系統相對沒(méi)有定級的系統更重要些，且往往有些二級系統也非常重要，存儲了大量重要的信息數據（其實(shí)本來(lái)是定三級的，種種原因定了二級），不去做測評，風(fēng)險太大。
 
八、等級保護測評一般多長(cháng)時(shí)間能測完？

答：現場(chǎng)測評周期一般一周左右，具體看信息系統數量及信息系統的規模，有所增減。小規模安全整改2-3周，出具報告時(shí)間一周，整體持續周期1-2個(gè)月。如果整改不及時(shí)或牽涉到購買(mǎi)設備，時(shí)間上會(huì )相對較長(cháng)。

解讀：理論上首次測評之后出具測評報告項目就結束了，但是實(shí)際情況好多是客戶(hù)接受不了結論不符合的報告，所以很多時(shí)候是等客戶(hù)整改后，測評機構再進(jìn)行復測，復測完成后出具最終的測評報告。所以在首次測評后需要抓緊進(jìn)行安全整改，整改的快自然結束的快，所以用戶(hù)單位想早點(diǎn)結束的話(huà)就得把安全整改抓緊落實(shí)完成。
 
九、等級保護測評的費用是多少？

答：測評的費用首先是按照信息系統來(lái)算，不是按照一個(gè)單位，第二不同等級的測評費用不一樣。費用每個(gè)省市情況不一樣，通常每個(gè)省市都有自己的一個(gè)價(jià)格區間。整體價(jià)格的規律是系統等級越高測評費用越多，系統規模越大測評費用越高，具體價(jià)格和當地測評機構進(jìn)行確定。

解讀：測評的費用按照系統個(gè)數和系統的等級去核算，等級越高的相對費用越高