• 舒心企服-ICP许可证、文网文许可证等互联网资质、经营许可证一站式代办平台
栏目列表
新闻动态

信息安全等级保护详细介绍

时间:2022-04-27 18:22来源: 字体大小:【

一、什么是信息安全等级保护?


信息安全等级保护简称“等保”,公安部评估中心在2017年8月根据网信办和信安村委的意见将等级保护在编的5个基本要求分册标准进行了合并,形成《信息安全技术 网络安全等级保护基本要求》一个标准,(GB/T 22239-2019等保2.0代替GB/T 22239-2008等保1.0)该标准于2019年5月10月发布,于2019年12月1日开始实施,并列入强制性条例,凡是有收集或存储用户手机号、住址、身份证信息的系统、网站、APP等都必须办理信息安全等级保护。


二、为什么要办理信息安全等级保护备案?


1、法律规定:《网络安全法》和《信息安全等级保护管理办法》明确规定网络运营者应当履行安全保护义务,如果拒不履行,将会受到相应处罚。


2、加强竞争:信息安全等级保护备案是目前检验一个系统安全性的重要标准,是用户及合作伙伴对系统是滞满足相应安全保护的评估方法,信息系统运营单位在向外部客户提供业务服务时,通过信息安全等级保护备案证明能向客户及利益相关方展示信息系统安全性承诺,增强客户、合作伙伴及利益相关方的信心。


3、自身安全保护:办理信息安全等级保护备案时,是由获得公安局认可的测评机构进行测评的,会对系统开展风险评估、漏洞扫描、渗透测试等多项差距评估,如果发现系统存在安全漏洞问题,会出具整改建议,帮助企业提交系统的安全防护能力,降低被攻击的风险。


三、信息安全等级保护基本内容


信息安全等级保护备案是一个全方位系统安全性标准,不仅仅是程序安全,还包含了物理安全、应用安全、通信安全、边界安全、环境安全、管理安全等方面。


【物理安全】:机房物理访问控制应防火、防雷击,控制好温湿度,提供电力供应保障、电磁防护等。


【应用安全】:应用具备身份鉴别、访问控制、安全审计、剩余信息保护、软件容错、资源控制和代码安全。


【通信安全】:包括网络架构,通信传输,可信验证。


【边界安全】:包括边界防护,访问控制,入侵防范,恶意代码防护等。


【环境安全】:入侵防范,恶意代码防范,身份鉴别,访问控制,数据完整性、保密性,个人信息保护。


【管理安全】:系统管理,审计管理,安全管理,集中管控。


四、等保1.0和等保2.0有什么区别?


等保1.0以1994年国务院分布的147号令《计算机信息系统安全保护条例》为指导标准,以2008年发布的《GB/T22239-2008信息安全技术 信息系统安全等级保护基本要求》为指导的网络安全等级保护办法。


等保2.0以《中华人民共和国网络安全法》为法律依据,以2019年5月发布的《GB/T22239-2019信息安全技术 网络安全等级保护基本要求》为指导标准的网络安全等级保护办法,目前,信息安全等级保护备案是以等保2.0为标准的,相对于等保1.0,等保2.0安全防护体系建设、风险评估和管理上更加全面。


五、信息安全等级保护一共分为几个级别?


等保一共划分为五个级别,越高安全性越好,其中:


【等保一级】为“用户自主保护级”,是等保中最低的级别,该级别无需测评,提交相关申请资料,公安部审核通过即可。


【等保二级】为“系统审计保护级”,是目前使用最多的等保方案,所有“信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全”范围内网站均可适用,可支持到地级市各机关、事业单位及各类企业的系统应用,比如:网上各类服务的平台(尤其是涉及到个人信息认证的平台),市级地方机关、政府网站等。


【等保三级】为“安全标记保护级”,级别更高,支持“信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害”范围,现在凡是具备收集或存储用户手机号、住址、身份证信息的系统都必须办理等保三级了。


【等保四级】适用于国家重要领域、涉及国家安全、国计民生的核心系统,普通的企业用不需要做,主要用于银行、军工单位等企业。


【等保五级】我国目前最高级别的等保就是五级等保,一般应用于国家的机密部门。


六、信息安全等级保护备案流程是怎么样?


信息安全等级保护备案包含了五个阶段,分别是:定级、备案、建设整改、等级测评、监督检查。之前很多小伙伴都在问什么是信息安全等级保护定级?什么是信息安全等级保护测评?等问题,其实就是信息安全等级保护备案过程中的一个流程,办理信息安全等级保护备案首先要确定系统的级别,就是等保定级,然后提交备案申请,之后就由公安部认可的测评机构开始对系统测评,开展风险评估、漏洞扫描、渗透测试等多项差距评估,并出具整改建议,整改通过后,再次对系统进行测评,测评通过后就会获得测评合格报告,把测评合格报告提交给网安部,网安部审批下发信息安全等级保护备案证明。


七、如果需要办理信息安全等级保护备案的企业不办理会有什么后果?


以下节选自《中华人民共和国网络安全法》:


第二十一条:国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改


第三十八条:关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。


第五十九条:网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。


关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。


八、信息安全等级保护备案在哪办理?


舒心企服有专门设立了信息安全等级保护备案办理部门,可以帮助所需企业提交申请信息安全等级保护备案,提供系统定级、系统测评、系统备案一站式信息安全等级保护服务,不同地区的办理要求、所需材料和价格费用都不一样,想要获得企业当地的等保备案办理要求、所需材料和报价的,可以在线咨询“舒心企服”。


信息安全等级保护


------分隔线----------------------------
点击收缩

手机/微信:

17620381594