❶ 等級保護和風險評估的區別
等級保護
等級保護是指對存儲、傳輸、處理信息的信息系統分等級實行安全保護,對信息系統中使用的安全產品實行按等級管理,對信息系統中發生的信息安全事件分等級進行響應、處置。等級保護的核心是對信息系統特別是對業務應用系統安全分等級、按標准進行建設、管理和監督。國家對信息安全等級保護工作運用法律和技術規范逐級加強監管力度。突出重點,保障重要信息資源和重要信息系統的安全。
等級保護工作包括定級、備案、安全建設和整改、信息安全等級測評、信息安全檢查五個階段。
風險評估
風險評估就是量化評判安全事件帶來的影響或損失的可能程度。從信息安全的角度來講,風險評估是對信息資產所面臨的威脅、存在的弱點、造成的影響,以及三者綜合作用所帶來風險的可能性的評估。作為風險管理的基礎,風險評估是組織確定信息安全需求的一個重要途徑,屬於組織信息安全管理體系策劃的過程。
等級保護和風險評估的不同:
①等級保護是指導我國信息安全保障體系建設的一項基礎管理制度,而風險評估、系統測評則是在等級保護制度下,對信息及信息系統安全性進行評價的兩種特定的、有所區分但又有所聯系的不同的研究、分析方法。從這個意義上來講,等級保護要高於風險評估和系統測評。
②等級保護的前提是對系統定級,系統定級根據系統信息的機密性、完整性、可用性等三大性來確定,即是明確各種信息類型-確定每種信息類型的安全類別-確定系統的安全類別三個步驟進行系統最終的定級。等級保護中的系統分類分級的思想和風險評估中對信息資產的重要性分級基本一致,不同的是:等級保護的級別是從系統的業務需求或CIA特性出發,定義系統應具備的安全保障業務等級,而風險評估中最終風險的等級則是綜合考慮了信息的重要性、系統現有安全控制措施的有效性及運行現狀後的綜合評估結果,也就是說,在風險評估中,CIA價值高的信息資產不一定風險等級就高。
③等級保護其實就是幫助用戶分析、評定信息系統的等級,以便在後期的工作中根據不同的等級進行不同級別的安全防護,而風險評估則是幫助用戶了解目前的安全現狀,以便在後期進行整體的安全規劃與建設。我們可以用風險評估這種手段檢查等保的落實和執行情況,將風險評估的結果作為實施等級保護等級安全建設的出發點和參考。
❷ 什麼是等級保護
等級保護是我們國家的基本網路安全制度、基本國策,也是一套完整和完善的網路安全管理體系。遵循等級保護相關標准開始安全建設是目前企事業單位的普遍要求,也是國家關鍵信息基礎措施保護的基本要求。
辦理等級保護的原因:
1、通過等級保護工作發現單位信息系統存在的安全隱患和不足,進行安全整改之後,提高信息系統的信息安全防護能力,降低系統被各種攻擊的風險,維護單位良好的形象。
2、等級保護是我國關於信息安全的基本政策,國家法律法規、相關政策制度要求單位開展等級保護工作。如《網路安全等級保護管理辦法》和《中華人民共和國網路安全法》。
3、很多行業主管單位要求行業客戶開展等級保護工作,目前已經下發行業要求文件的有:金融、電力、廣電、醫療、教育等行業等。
4、落實個人及單位的網路安全保護義務,合理規避風險。
企業申請等級保護的工作流程:
定級備案
內容:①我方人員協助客戶填寫備案資料,我方人員第一輪審核,測評機構最終審核。②審核後客戶提交到所屬區公安局。
調研梳理
內容:我方組織人員開始調研,提供咨詢服務,核心目標:解決《管理制度文檔》;附帶解決部分明顯技術問題;機房可能涉及到提前架設設備,配置策略。
初步測評
內容:我方組織人員,核心目標解決技術問題。
整改建設
內容:測評機構執行,我方人員協助完成,出具《差距性分析》或《整改問題匯總》。
正式測評
內容:測評機構執行:根據整改結果復測達到目標分數。
❸ 如何進行信息系統安全等級保護備案
第一步:定級
定級的依據就是你提到的《信息系統安全等級保護定級指南》。定級的原則是「自主定級」,因為系統在遭受破壞後造成多大影響自己最清楚。確定等級後起草「定級報告」,定級報告模版網路文庫里可以搜到。
第二步:准備備案材料
備案所需材料主要是《信息安全等級保護備案表》,備案表模版網路文庫里可以搜到。每個系統填寫一份備案表,其中二級系統只需要填寫備案表的表一、表二和表三;三級系統需要填寫表一、表二、表三和表四。
第三步:等級測評
二級系統不需要進行等級測評即可進行備案;三級系統需要有資質的測評機構進行測評並出具測評報告,測評報告作為備案材料之一(備案表表四中有明確說明)進行備案。
第四步:提交備案材料
將《信息安全等級保護備案表》列印一式兩份蓋章,連同一份電子版提交到當地地市級以上公安局網監支隊(現在叫網安支隊),在審批結束後會為你出具《信息安全等保保護備案證明》,備案工作結束。
❹ 如何進行信息系統安全等級保護備案
信息系統的安全保護等級分為以下五級:
第一級,信息系統受到破壞後,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益。第一級信息系統運營、使用單位應當依據國家有關管理規范和技術標准進行保護。
第二級,信息系統受到破壞後,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。國家信息安全監管部門對該級信息系統安全等級保護工作進行指導。
第三級,信息系統受到破壞後,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。國家信息安全監管部門對該級信息系統安全等級保護工作進行監督、檢查。第四級,信息系統受到破壞後,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。國家信息安全監管部門對該級信息系統安全等級保護工作進行強制監督、檢查。
第五級,信息系統受到破壞後,會對國家安全造成特別嚴重損害。國家信息安全監管部門對該級信息系統安全等級保護工作進行專門監督、檢查。
信息安全等級保護的辦理流程:
一步:定級;(根據企業的系統評定辦理級別)
二步:修改;(對系統經行大致的修改系統)
三步:評測;(評測商對系統評測,得分)
四步:備案;(在當地的網安部門備案)
五步:維護。(定期對系統經行維護)
註:大致的流程如上述所說,也有先備案,後評測的,根據當地的規定來辦理。
❺ 如何進行信息系統安全等級保護備案
信息系統安全等級保護備案辦理流程:
1、摸底調查:摸清信息系統底數,掌握信息系統的業務類型、應用或服務范圍、系統結構等基本情況。
2、確立定級對象:應用系統應按照業務類別不同單獨確定為定級對象,不以系統是否進行數據交換、是否獨享設備為確定定級對象。
3、系統定級:定級是信息安全等級保護工作的首要環節,是開展信息系統安全建設、等級測評、監督檢查等工作的重要基礎。
4、專家批審和主管部門審批:運營使用單位或主管部門在確定系統安全保護等級後,可以聘請專家進行評審。
5、備案:備案單位準備備案工具,填寫備案表,生成備案電子數據,到公安機關辦理備案手續。
6、備案審核:受理備案的公安機關要及時公布備案受理地點、備案聯系方式等,對備案材料進行完整性審核和定級准確審核。
7、系統測評:第三級以上信息系統按《信息系統安全等級保護備案表》表四的要求提交01-07共七分材料。
8、整改實施:根據測評結果進行安全要求整改。
注釋:不同地區,辦理的條件及要求會有所不同。