一、 关于等保

信息安全等级保护,是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。 在中国,信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作;狭义上一般指信息系统安全等级保护。

信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查。


二、等级划分与保护

国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。

第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。

第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。

第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。

第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。

第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。


信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评

第一级:用户自主保护级;

第二级:系统审计保护级;

第三级:安全标记保护级;

第四级:结构化保护级;

第五级:访问验证保护级;

三、等保测评流程

等级保护测评流程:

流程 过程 备注
测评准备 等级测评项目启动→信息收集与分析→工具和表单准备→测评对象及指定确定 项目计划书、被测系统的安全保护等级、业务情况、数据情况、软硬件情况、管理模式和相关部门的角色等
方案编制 测评工具接入点确定→测评内容确定→测评指导书开发→测评方案编制 方案编制是开展等级保护测评工作的关键环节,为现场测评提供基本的文档和指导方案。
现场测评 测评实施准备→现场测评和结果记录→结果确认和资料返还 测评方法:人工访谈,配置检查,文档检查;测评对象: 信息系统(人员、制度、软硬件),信息系统所处的环境(机房、办公地点)测评内容:物理安全、网络安全、主机安全、应用安全、管理安全等
分析与编制报告 单元测评结果判断→单元测评结果判定→整体测评→风险分析→等级测评结论形成→测评报告编制 对前期测评工作进行分析,评论以及建议;输出《等级保护测评报告》
公安部备案 按要求提交备案材料 成果物:信息系统安全等级保护备案证明