| 基本概念 | 信息安全等级保护是国家信息安全保障的基本制度、基本策略、基本方法。开展信息安全等级保护工作是保护信息化发展、维护信息安全的根本保障,是信息安全保障工作中国家意志的体现。 信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合国家要求的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。 |
| 意义 | ● 合法合规: 履行国家《网络安全法》法律义务、满足行业监管机构在信息安全领域的合规要求,开展等级保护建设工作可以有效规避组织所面临的信息安全法律及合规风险。 ● 提高效率: 以等级保护为标准开展安全建设,让安全建设更加体系化,可以从物理、网络、主机、应用和数据多个方面成体系的进行安全建设,避免头痛医头、脚痛医脚,实现体系化的建设提高安全运维效率的成果。 |
| 发展历程 | ● 1994年《中华人民共和国计算机信息系统安全保护条例》(国务院147号令):第一次提出“计算机信息系统实行安全等级保护”概念。 ● 1999年《计算机信息系统 安全等级保护划分准则》(GB17859):国家发布关于计算机信息系统安全保护等级划分准则强制性标准。 ● 2007年《信息安全等级保护管理办法》(公通字[2007]43号):公安部发布管理办法,旨在加快推进、规范管理等级保护建设工作。 ● 2008年《信息安全技术 信息系统安全等级保护基本要求》(GB/T 22239-2008):明确对于各等级信息系统的安全保护基本要求。 ● 2017年《中华人民共和国网络安全法》:第二十一条明确国家实行等级保护制度,落实等级保护制度已经上升到法律层面。 |
| 法律要求 | 《中华人民共和国网络安全法》【第二十一条】国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。 法律解读:国家明确实行等级保护制度,网络运营者应按等级保护要求开展网络安全建设。 《中华人民共和国网络安全法》【第三十一条】 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。(CII必须落实国家等级保护制度,突出保护重点) 法律解读:关键信息基础设施必须要落实等级保护制度,并要重点保护。 |
在等级保护建设整改过程中,涉及到四个不同的角色,分别是:建设单位、公安机关、建设服务商、测评机构。
编写定级报告、填写定级备案表,完成在公安机关的定级备案。
采用技术手段和访谈调查方式发现现状与国家要求之间的差距。
依照国家相关标准,完成等级保护建设整改方案设计。
完成设备采购及调整、策略配置调优、完善管理制度等工作。
请测评中心完成系统测评,获得测评报告。
信息系统运营使用单位按照《信息安全等级保护管理办法》和《网络安全等级保护定级指南》,初步确定定级对象的安全保护等级,起草《网络安全等级保护定级报告》;三级以上系统,定级结论需要进行专家评审。
运营单位:确定安全保护等级,编写定级报告
阿里云:协调第三方机构为运营单位提供辅导服务
咨询或测评机构:辅导运营单位准备定级报告;组织专家评审(三级)
信息系统安全保护等级为第二级以上时,备案时应当提交《网络安全等级保护备案表》和定级报告;第三级以上系统,还需提交专家评审意见、系统拓扑和说明、安全管理制度、安全建设方案等。
运营单位:准备备案材料,到当地公安机关备案
阿里云:协调第三方机构为运营单位提供辅导服务
咨询或测评机构:辅导运营单位准备备案材料和备案
依据《网络安全等级保护基本要求》,利用自有或第三方的安全产品和专家服务,对信息系统进行安全建设和整改,同时制定相应的安全管理制度;
运营单位:建设符合等级要求的安全技术和管理体系
阿里云:提供符合等级要求必须的安全产品和服务
咨询或测评机构:辅导运营单位进行系统安全加固和制定安全管理制度
公安机关:当地公安机关审核受理备案材料
运营使用单位应当选择合适的测评机构,依据《网络安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。
运营单位:准备和接受测评机构测评
阿里云:提供云服务商安全资质、云平台通过等保的证明材料
测评机构:测评机构对系统等级符合性状况进行测评
公安机关及其他监管部门会在整个过程中,履行相应的监管、审核和检查等职责。
运营单位:接受公安机关的定期检查
公安机关:监督检查运营单位开展等级保护工作
等保建设过程涉及定级、备案、整改、测评、检查五个阶段及建设单位、公安机关、测评机构、咨询服务商、产品服务商等多个角色,通过与当地的测评机构及等保咨询服务商合作,云多多网络为企业提供一站式的等保建设服务,协助企业完成相应的流程、提供业务整改与建设方案、为业务迁云与运维提供全程的服务。
拥有大量等保咨询服务的经验,从中总结了等保对主机操作系统的所有安全要求,针对操作系统的身份鉴别、访问控制、安全审计、入侵防范、系统控制和信息保护预置了安全防护策略并生成了专用的等保镜像供企业直接使用,支持Windows及主流的Linux版本,减少了后期的等保整改工作量。
拥有满足最高三级等保要求的下一代防火墙、应用交付、SSL VPN、主机杀毒、堡垒机、数据库审计等安全组件,为业务系统提供从接入、传输、网络到应用、数据的完整安全防护方案。
在重要节日、国内外重大会议与重要赛事期间,云多多网络的安全保障团队将主动对用户的业务系统进行必要的安全检查,提供专业的运维服务,并能够快速响应各类安全事件,让企业安心无虞。