在全球數(shù)字經(jīng)濟大發(fā)展的當下�,網(wǎng)絡(luò)和數(shù)據(jù)已經(jīng)成為一項非常重要的“基礎(chǔ)設(shè)施”�����,成為各國在未來經(jīng)濟����、政治��、科技等領(lǐng)域中都想占領(lǐng)的戰(zhàn)略“新高地”����。而隨著近年網(wǎng)絡(luò)安全事件的頻繁爆發(fā)����,其面臨的信息安全威脅都在不斷地提升,網(wǎng)絡(luò)數(shù)據(jù)目前已經(jīng)成為繼陸�?仗熘蟮牡谖宕笾鳈(quán)領(lǐng)域空間。為了維護網(wǎng)絡(luò)空間安全進而保障國家安全�,國家近年來密集出臺了許多網(wǎng)絡(luò)安全政策,大力推進網(wǎng)絡(luò)信息安全產(chǎn)業(yè)發(fā)展��,將網(wǎng)絡(luò)安全上升到了國家安全的高度���。
網(wǎng)絡(luò)安全
網(wǎng)絡(luò)安全產(chǎn)品種類繁多���,政府、電信�����、金融需求占比超過60%�,與頭部企業(yè)合作的華信信息近年來憑借自身優(yōu)勢,不斷鞏固網(wǎng)絡(luò)安全這一核心業(yè)務(wù)的“護城河”優(yōu)勢���。幫助政府�����、企事業(yè)單位提升數(shù)據(jù)安全合規(guī)意識和數(shù)據(jù)安全保障能力�,已經(jīng)為重點行業(yè)的多家企業(yè)提供了信息安全解決方案或服務(wù)���,客戶包括政府����、企事業(yè)單位�����。
一��、等保2.0總體介紹
Q1.什么是等保���?
答:等保即網(wǎng)絡(luò)安全等級保護���,是指根據(jù)信息系統(tǒng)應(yīng)用業(yè)務(wù)重要程度及其實際安全需求��,實行分級�、分類�����、分階段實施保護���,保障信息安全和系統(tǒng)安全正常運行�,維護國家利益��、公共利益和社會穩(wěn)定�����。網(wǎng)絡(luò)安全等級保護制度是我國信息安全保障的基本制度����,也是我國網(wǎng)絡(luò)空間安全保障體系的重要支撐。
Q2.為什么要做等級保護����?
答:1)國家法律要求:國家法律法規(guī)及行業(yè)監(jiān)管政策都要求開展等級保護工作�����。如《網(wǎng)絡(luò)安全法》和《信息安全等級保護管理辦法》明確規(guī)定信息系統(tǒng)運營、使用單位應(yīng)當按照網(wǎng)絡(luò)安全等級保護制度要求��,履行安全保護義務(wù)��,如果拒不履行���,將會受到相應(yīng)處罰����。
2)行業(yè)客戶服務(wù)要求:信息系統(tǒng)運營單位在向外部客戶提供業(yè)務(wù)服務(wù)時�����,通過等保測評�����,能向客戶及利益相關(guān)方展示信息系統(tǒng)安全性承諾����,增強客戶���、合作伙伴及利益相關(guān)方的信心。
3)系統(tǒng)自身安全要求:信息系統(tǒng)運營����、使用單位通過開展等級保護工作可以發(fā)現(xiàn)系統(tǒng)內(nèi)部的安全隱患與不足之處,可通過安全整改提升系統(tǒng)的安全防護能力��,降低被攻擊的風(fēng)險��。
什么是等保2.0����?
“等保2.0”與《中華人民共和國網(wǎng)絡(luò)安全法》中的相關(guān)法律條文保持一致,是指對網(wǎng)絡(luò)和信息系統(tǒng)按照重要性等級分級別保護的一種工作��。保護對象包括基礎(chǔ)信息網(wǎng)絡(luò)(廣電網(wǎng)�����、電信網(wǎng)等)�����、信息系統(tǒng)(采用傳統(tǒng)技術(shù)的系統(tǒng))����、云計算平臺����、大數(shù)據(jù)平臺�、移動互聯(lián)���、物聯(lián)網(wǎng)和工業(yè)控制系統(tǒng)等�。
等保2.0標準于2019年12月1日起正式實行�����,等保2.0標準在1.0時代標準的基礎(chǔ)上��,更加注重主動防御�,從被動防御到事前、事中��、事后全流程的安全可信�����、動態(tài)感知和全面審計����,不僅實現(xiàn)了對傳統(tǒng)信息系統(tǒng)��、基礎(chǔ)信息網(wǎng)絡(luò)的等級保護��,還實現(xiàn)了對云計算��、大數(shù)據(jù)�、物聯(lián)網(wǎng)��、移動互聯(lián)網(wǎng)和工業(yè)控制信息系統(tǒng)的等級保護對象的全覆蓋��。
1.等保2.0保護對象等級怎么劃分���?
答:等級保護的對象是網(wǎng)絡(luò)基礎(chǔ)設(shè)施����、信息系統(tǒng)���、大數(shù)據(jù)�����、物聯(lián)網(wǎng)����、云平臺、工控系統(tǒng)��、移動互聯(lián)網(wǎng)����、智能設(shè)備等。
等保的核心是等級保護����、管理規(guī)范和技術(shù)標準����。等保要求組織企業(yè)和個人對信息系統(tǒng)進行分等級的安全保護,對安全保護的實施進行監(jiān)督和管理�����,從而保證安全信息系統(tǒng)的基礎(chǔ)安全��。
第一級:信息系統(tǒng)受到破壞后��,會對公民���、法人和其他組織的合法權(quán)益造成損害�����,但不損害國家安全���、社會秩序和公共利益�;
第二級:信息系統(tǒng)受到破壞后�,會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴重損害��,或者對社會秩序和公共利益造成損害���,但不損害國家安全��;
第三級:信息系統(tǒng)受到破壞后��,會對社會秩序和公共利益造成嚴重損害�,或者對國家安全造成損害�;
第四級:信息系統(tǒng)受到破壞后,會對社會秩序和公共利益造成特別嚴重損害�����,或者對國家安全造成嚴重損害;
第五級:信息系統(tǒng)受到破壞后����,會對國家安全造成特別嚴重損害。
二�����、等保2.0測評流程
目前我國實行的是等保2.0于2019年12月1日開始實施�����,等保2.0從傳統(tǒng)的信息系統(tǒng)�,轉(zhuǎn)變成具有基礎(chǔ)信息網(wǎng)絡(luò)平臺的多種新興技術(shù)對象����,即具有網(wǎng)絡(luò)服務(wù),有數(shù)據(jù)的網(wǎng)絡(luò)服務(wù)平臺都可以成為新興的測評對象�����。等保2.0備案從原來的自主定級改變成系統(tǒng)定級�,才能得到公安機關(guān)的備案。
目前等保測評結(jié)論分為優(yōu)��、良、中�、差幾個級別,70分以上才算及格����,90分以上算優(yōu)秀。其具體判別依據(jù)如下
1����、優(yōu):被測對象中存在安全問題,但不會導(dǎo)致被測對象面臨中����、高等級安全風(fēng)險,且系統(tǒng)綜合得分90分以上����,包含90分;
2、良:被測對象中存在安全問題�,但不會導(dǎo)致被測對象面臨高等級安全風(fēng)險,且系統(tǒng)綜合得分80分以上�����,包含80分;
3、中:被測對象中存在安全問題�,但不會導(dǎo)致被測對象面臨高等級安全風(fēng)險,且系統(tǒng)綜合得分70分以上�,包含70分;
4、差:被測對象中存在安全問題�����,而且會導(dǎo)致被測對象面臨高等級安全風(fēng)險����,或被測對象綜合得分低于70分。
等保2.0定級備案流程:確定定級對象�、初步確定等級、專家評審�����、主管部門審核�����、公安機關(guān)備案審查���、最終確定等級。
圖片其中備案證明,測評報告���,測試結(jié)果通知書尤為關(guān)鍵��。
等保2.0怎么定級�?
各級系統(tǒng)定級參考:
第一級(自主保護級):適用于小型私營���、個體企業(yè)���、中小學(xué)、鄉(xiāng)鎮(zhèn)所屬信息系統(tǒng)��、縣級單位中一般的信息系統(tǒng)��。
第二級(指導(dǎo)保護級):適用于縣級某些單位中的重要信息系統(tǒng)���;地市級以上國家機關(guān)����、企事業(yè)單位內(nèi)部一般的信息系統(tǒng)��。例如非涉及工作機密����、商業(yè)機密���、敏感信息的辦公系統(tǒng)和管理系統(tǒng)等。
第三級(監(jiān)督保護級):一般適用于地市級以上國家機關(guān)��、企業(yè)����、事業(yè)單位內(nèi)部重要的信息系統(tǒng),例如涉及工作機密����、商業(yè)機密、敏感信息的辦公系統(tǒng)和管理系統(tǒng)�;跨省或全國聯(lián)網(wǎng)運行的用于生產(chǎn)、調(diào)度���、管理���、指揮、作業(yè)���、控制等方面的重要信息系統(tǒng)以及這類系統(tǒng)在省����、地市的分支系統(tǒng)�;中央各部委、����。▍^(qū)、市)門戶網(wǎng)站和重要網(wǎng)站����;跨省連接的網(wǎng)絡(luò)系統(tǒng)等。
第四級(強制保護級):一般適用于國家重要領(lǐng)域����、部門中涉及國計民生、國家利益�����、國家安全��、影響社會穩(wěn)定的核心系統(tǒng)�。例如電力生產(chǎn)控制系統(tǒng)、銀行核心業(yè)務(wù)系統(tǒng)��、電信核心網(wǎng)絡(luò)、鐵路客票系統(tǒng)�����、列車指揮調(diào)度系統(tǒng)等��。
第五級(����?乇Wo級):一般適用于國家重要領(lǐng)域、重要部門中的極端重要系統(tǒng)��。
等保2.0怎么備案�����?
答:對擬定為第二級及以上的網(wǎng)絡(luò)�,應(yīng)當在網(wǎng)絡(luò)的安全保護等級確定后10個工作日內(nèi),到縣級以上公安機關(guān)備案���。二級及以上需要提交的備案材料例如定級報告���、備案表,三級及以上需要提供組織架構(gòu)圖�����、拓撲圖��、系統(tǒng)安全方案�����、系統(tǒng)設(shè)備列表及銷售許可證等等��。因網(wǎng)絡(luò)撤銷或變更調(diào)整安全保護等級的����,應(yīng)當在10個工作日內(nèi)向原受理備案公安機關(guān)辦理備案撤銷或變更手續(xù)。
等保2.0怎么備案����?
備案需要提供哪些材料?
紙質(zhì)版:
1�����、信息系統(tǒng)安全等級保護備案表一式兩份(封面單位名稱處蓋章)���。應(yīng)填寫完整����、無漏項,不得改動備案表版面格式�。機打,不可手寫����,單面打印。
2�����、信息系統(tǒng)安全等級保護定級報告一式兩份(定級表格處蓋章)���。機打���,單面打印。
3. 信息安全承諾書簽字蓋章�。法人親筆簽字。
4. 相關(guān)證件復(fù)印件各一份:工商營業(yè)執(zhí)照(或執(zhí)業(yè)許可證��、事業(yè)單位證書���、非盈利性機構(gòu)證書等許可證明)�����、法人代表身份證��、組織機構(gòu)代碼證(如三證合一�,省略)��。
5. 法人授權(quán)書(被授權(quán)人需攜帶本人身份證原件及復(fù)印件)��。
6. 實際辦公地的房產(chǎn)證或租房合同復(fù)印件�。
7.主機托管合同或云主機租用合同的復(fù)印件。
8. 企業(yè)內(nèi)部信息安全部門���、技術(shù)部門組織架構(gòu)人員登記信息表�,左上角蓋章(表格中確定兩位24小時應(yīng)急處置網(wǎng)絡(luò)安全事件聯(lián)系人)��。
9.從事互聯(lián)網(wǎng)金融的企業(yè)(如網(wǎng)貸P2P平臺��、證券交易系統(tǒng)等)����,備案時需提交紙質(zhì)版《信息安全等級保護備案證明使用承諾書》法人親筆簽字,加蓋單位公章。其他行業(yè)無需提交�����。
(備案面審提交時請按照以上順序排列材料)
電子版壓縮包要求:以“單位全稱-系統(tǒng)名稱”命名壓縮包����,將以下文件放入壓縮包內(nèi),提交紙質(zhì)材料的同時在釘釘內(nèi)向負責(zé)民警提交電子版壓縮包��。原件掃描件要求��,分辨率300dpi---jpg格式���。
1.備案表����、定級報告和信息安全承諾書蓋章掃描件
2.備案表和定級報告word版����;
3.XX單位XX系統(tǒng)-專家評審意見(原件掃描件)
4.(三級系統(tǒng)備案時需提交)《XX單位-信息安全工作管理制度》(word版,蓋章掃描件均可)
5.(三級系統(tǒng)備案時需提交)XX單位系統(tǒng)使用的安全產(chǎn)品清單及認證�、銷售許可證明(蓋章掃描件)
6.(三級系統(tǒng)備案時需提交)單位拓撲圖及說明(蓋章掃描件)
7.三級系統(tǒng)需提交備案表表四全部內(nèi)容。
8.信息安全部����、技術(shù)部組織架構(gòu)人員登記信息表�,可編輯版���。
9.工商營業(yè)執(zhí)照副本原件掃描件(或執(zhí)業(yè)許可證����、事業(yè)單位證書���、非盈利性機構(gòu)證書等許可證明)、組織機構(gòu)代碼證原件掃描件(如三��、五證合一��,省略)
10.法人代表身份證原件掃描件�;
11.備案表表一中單位負責(zé)人身份證原件掃描件;
12.從事經(jīng)營性公眾互聯(lián)網(wǎng)行業(yè)及有交易投資活動的信息系統(tǒng)的企業(yè)需要提交《信息安全等級保護備案證明使用承諾書》
三����、等保2.0重點行業(yè)
Q1.等保2.0有哪些重點行業(yè)?
答:等級保護2.0所涉及的行業(yè):
1.金融���,尤其是互聯(lián)網(wǎng)金融
(不做等保不允許經(jīng)營�����,監(jiān)管最嚴)
2.醫(yī)療 (各大醫(yī)院系統(tǒng)必須做等保�,互聯(lián)網(wǎng)醫(yī)療要想上線取得線上診療資質(zhì),必須過等保)
3.教育 (211����,985大學(xué)必須做等保,互聯(lián)網(wǎng)+教育如學(xué)生管理系統(tǒng)�����、學(xué)校網(wǎng)站等重要系統(tǒng)必須做等保)
4.能源 (上級主管部門要求)
5.通信 (上級主管部門要求)
6.交通 (上級主管部門要求)
7.政府機關(guān)����,企事業(yè)單位,央企(等保和負責(zé)人的績效考核掛鉤)
8.征信行業(yè)(行業(yè)要求必須做等保)
9.軟件開發(fā)(行業(yè)或者甲方要求必須做等保)
10.物聯(lián)網(wǎng)(行業(yè)或者甲方要求必須做等保)
11.工業(yè)數(shù)據(jù)安全(行業(yè)或者甲方要求必須做等保)
12.大數(shù)據(jù)(行業(yè)或者甲方要求必須做等保)
13.云計算 (阿里云���,華為云�,云電話�,云視頻,云服務(wù)等等)
14.快遞行業(yè)(不做等保不給換許可證)
15.酒店行業(yè)(屬于最近嚴查行業(yè))
