是什么
2007-2017 等保1.0
公安部会同相关部门发布了一个非常重要的红头文件——《信息安全等级保护管理办法》,俗称“43号文件”。在这个文件中,明确了等级保护要做的事,包括定级备案、建设整改、等级测评。用户必须完成这三件事,并接受安全检查。
2017- 等保2.0
2017年6月1号,《中华人民共和国网络安全法》出台,它提到,国家实行等级安全保护制度,注意,这时候等级保护已经成为法律制度,不做等保就是违法。
包含哪些内容
- 【保障基础设施安全】保障网络周边环境和物理特性引起的网络设备和线路的持续使用。
- 【保障网络连接安全】保障网络传输中的安全,尤其保障网络边界和外部接入中的安全。
- 【保障计算环境的安全】保障操作系统、数据库、服务器、用户终端及相关商用产品的安全。
- 【保障应用系统安全】保障应用程序层对网络信息的保密性、完整性和信源的真实的保护和鉴别,防止和抵御各种安全威胁和攻击手段,在一定程度上弥补和完善现有操作系统和网络信息系统的安全风险。
- 【保障数据安全及备份恢复】保障数据完整性、数据保密性、备份和恢复等。
- 【安全管理体系保障】根据国家有关信息安全等级保护方面的标准和规范要求,建立一套切实可行的安全管理体系,加强安全管理机制。
如何划分等级
等级保护对象分为五级,第一二级国家认为是一般资产,三级以上包含重要资产以及关键资产。这些不同对象对应的监管力度也不一样。
| 保护对象级别 | 重要程度 | 监督管理强度等级 |
|---|---|---|
| 一 | 一般系统 | 自主保护 |
| 二 | 一般系统 | 指导保护 |
| 三 | 重要系统/关键信息基础设施 | 监督保护 |
| 四 | 关键信息基础设施 | 强制保护 |
| 五 | 关键信息基础设施 | 专控保护 |
哪些公司需要
- 政府机关:各大部委、各省级政府机关、各地市级政府机关、各事业单位等;
- 金融行业:金融监管机构、各大银行、证券、保险公司等;
- 电信行业:各大电信运营商、各省电信公司、各地市电信公司、各类电信服务商等;
- 能源行业:电力公司、石油公司、烟草公司;
- 企业单位:大中型企业、央企、上市公司等;
- 其它有信息系统定级需求的行业与单位。
如何做等保
- 定级备案
- 安全建设
- 等级测评
如果你是关键基础设施,除了等级保护,还需要完成关键信息基础设施保护。
等保2.0后,等级测评结论发生了变化,分为:优、良、中、差几个级别,70分以上才算及格,90分以上算优秀。
