新政策什么是三級(jí)等保
“沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全”不止是一個(gè)理念,更是國(guó)家、企業(yè)、組織落實(shí)網(wǎng)安標(biāo)準(zhǔn)的基本原則。目前已經(jīng)下發(fā)行業(yè)等保要求文件的有:金融、電力、廣電、醫(yī)療、教育等行業(yè)等。
滿(mǎn)足等級(jí)保護(hù)建設(shè)的要求也并不是一味的累加產(chǎn)品,更多的是對(duì)網(wǎng)絡(luò)、業(yè)務(wù)系統(tǒng)的梳理,只有符合企業(yè)網(wǎng)絡(luò)特點(diǎn)、業(yè)務(wù)特點(diǎn)的方案設(shè)計(jì)才是合適的等級(jí)保護(hù)解決方案。
我國(guó)實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度,等級(jí)保護(hù)對(duì)象分為五個(gè)級(jí)別,由一到五級(jí)別逐漸升高,每一個(gè)級(jí)別的要求存在差異,級(jí)別越高,要求越嚴(yán)格。
第一級(jí),自主保護(hù)級(jí):信息系統(tǒng)受到破壞后,會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成損害,但不損害國(guó)家安全、社會(huì)秩序和公共利益;一般適用于小型私營(yíng)、個(gè)體企業(yè)、中小學(xué),鄉(xiāng)鎮(zhèn)所屬信息系統(tǒng)、縣級(jí)單位中一般的信息系統(tǒng)。
第二級(jí),指導(dǎo)保護(hù)級(jí):信息系統(tǒng)受到破壞后,會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害,或者對(duì)社會(huì)秩序和公共利益造成損害,但不損害國(guó)家安全;一般適用于縣級(jí)其些單位中的重要信息系統(tǒng);地市級(jí)以上國(guó)家機(jī)關(guān)、企事業(yè)單位內(nèi)部一般的信息系統(tǒng)。例如非涉及工作秘密、商業(yè)秘密、敏感信息的辦公系統(tǒng)和管理系統(tǒng)等。
第三級(jí),監(jiān)督保護(hù)級(jí):信息系統(tǒng)受到破壞后,會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害,或者對(duì)國(guó)家安全造成損害;一般適用于地市級(jí)以上國(guó)家機(jī)關(guān)、企業(yè)、事業(yè)單位內(nèi)部重要的信息系統(tǒng),例如涉及工作秘密、商業(yè)秘密、敏感信息的辦公系統(tǒng)和管理系統(tǒng);跨省或全國(guó)聯(lián)網(wǎng)運(yùn)行的用于生產(chǎn)、調(diào)度、管理、指揮、作業(yè)、控制等方面的重要信息系統(tǒng)以及這類(lèi)系統(tǒng)在省、地市的分支系統(tǒng);中央各部委、省(區(qū)、市)門(mén)戶(hù)網(wǎng)站和重要網(wǎng)站;跨省連接的網(wǎng)絡(luò)系統(tǒng)等。
第四級(jí),強(qiáng)制保護(hù)級(jí):信息系統(tǒng)受到破壞后,會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害,或者對(duì)國(guó)家安全造成嚴(yán)重?fù)p害;一般適用于國(guó)家重要領(lǐng)域、重要部門(mén)中的特別重要系統(tǒng)以及核心系統(tǒng)。例如電力、電信、廣電、鐵路、民航、銀行、稅務(wù)等重要、部門(mén)的生產(chǎn)、調(diào)度、指揮等涉及國(guó)家安全、國(guó)計(jì)民生的核心系統(tǒng)。
第五級(jí),專(zhuān)控保護(hù)級(jí):信息系統(tǒng)受到破壞后,會(huì)對(duì)國(guó)家安全造成特別嚴(yán)重?fù)p害。一般適用于國(guó)家重要領(lǐng)域、重要部門(mén)中的極端重要系統(tǒng)。
就實(shí)際情況而言,最見(jiàn)的是二級(jí)信息系統(tǒng)和三級(jí)信息系統(tǒng)。
三級(jí)等保指信息系統(tǒng)經(jīng)過(guò)定級(jí)、備案這一流程之后,確定為第三級(jí)的信息系統(tǒng),那么就需要做三級(jí)等保。在我國(guó),“三級(jí)等保”是對(duì)非銀行機(jī)構(gòu)的最高等級(jí)保護(hù)認(rèn)證,一般定級(jí)為等保三級(jí)的系統(tǒng)有互聯(lián)網(wǎng)醫(yī)院平臺(tái)、P2P金融平臺(tái)、網(wǎng)約車(chē)平臺(tái)、云(服務(wù)商)平臺(tái)和其他重要系統(tǒng)。這一認(rèn)證由公安機(jī)關(guān)依據(jù)國(guó)家信息安全保護(hù)條例及相關(guān)制度規(guī)定,按照管理規(guī)范和技術(shù)標(biāo)準(zhǔn),對(duì)各機(jī)構(gòu)的信息系統(tǒng)安全等級(jí)保護(hù)狀況進(jìn)行認(rèn)可及評(píng)定。一般我們生活中接觸多的定級(jí)為等保三級(jí)的系統(tǒng)有互聯(lián)網(wǎng)醫(yī)院平臺(tái)、P2P金融平臺(tái)、網(wǎng)約車(chē)平臺(tái)、云(服務(wù)商)平臺(tái)和其他重要系統(tǒng)。
根據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》,三級(jí)等保的測(cè)評(píng)內(nèi)容涵蓋等級(jí)保護(hù)安全技術(shù)要求的5個(gè)層面和安全管理要求的5個(gè)層面,包含信息保護(hù)、安全審計(jì)、通信保密等在內(nèi)的近300項(xiàng)要求,共涉及測(cè)評(píng)分類(lèi)73類(lèi)。通過(guò)“三級(jí)等保”認(rèn)證,表明企業(yè)的信息安全管理能力達(dá)到國(guó)內(nèi)最高標(biāo)準(zhǔn)。
如何才能通過(guò)三級(jí)等保認(rèn)證?根據(jù)《網(wǎng)絡(luò)安全法》第二十一條:“國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度,網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求,保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪(fǎng)問(wèn),防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。”企業(yè)獲得三級(jí)等保的具體程序包括定級(jí)、備案、安全建設(shè)和整改、信息安全等級(jí)測(cè)評(píng)、信息安全檢查共五個(gè)階段。在取得三級(jí)等保認(rèn)證后,平臺(tái)需要按照《網(wǎng)絡(luò)信息中介機(jī)構(gòu)業(yè)務(wù)活動(dòng)管理辦法》中的規(guī)定,具有完善的防火墻、入侵檢測(cè)、數(shù)據(jù)加密以及災(zāi)難恢復(fù)等網(wǎng)絡(luò)安全設(shè)施和管理制度。同時(shí),已取得認(rèn)證的企業(yè)還需要每年進(jìn)行年檢,并接受相關(guān)部門(mén)的不定期抽查。