在全球數(shù)字經(jīng)濟(jì)大發(fā)展的當(dāng)下��,網(wǎng)絡(luò)和數(shù)據(jù)已經(jīng)成為一項(xiàng)非常重要的“基礎(chǔ)設(shè)施”��,成為各國(guó)在未來(lái)經(jīng)濟(jì)�����、政治�����、科技等領(lǐng)域中都想占領(lǐng)的戰(zhàn)略“新高地”。而隨著近年網(wǎng)絡(luò)安全事件的頻繁爆發(fā)����,其面臨的信息安全威脅都在不斷地提升,網(wǎng)絡(luò)數(shù)據(jù)目前已經(jīng)成為繼陸?����?仗熘蟮牡谖宕笾鳈?quán)領(lǐng)域空間���。為了維護(hù)網(wǎng)絡(luò)空間安全進(jìn)而保障國(guó)家安全,國(guó)家近年來(lái)密集出臺(tái)了許多網(wǎng)絡(luò)安全政策���,大力推進(jìn)網(wǎng)絡(luò)信息安全產(chǎn)業(yè)發(fā)展�,將網(wǎng)絡(luò)安全上升到了國(guó)家安全的高度�。
網(wǎng)絡(luò)安全產(chǎn)品種類繁多,政府�����、電信�、金融需求占比超過(guò)60%����,與頭部企業(yè)合作的華信信息近年來(lái)憑借自身優(yōu)勢(shì)����,不斷鞏固網(wǎng)絡(luò)安全這一核心業(yè)務(wù)的“護(hù)城河”優(yōu)勢(shì)。幫助政府����、企事業(yè)單位提升數(shù)據(jù)安全合規(guī)意識(shí)和數(shù)據(jù)安全保障能力,已經(jīng)為重點(diǎn)行業(yè)的多家企業(yè)提供了信息安全解決方案或服務(wù)��,客戶包括政府�����、企事業(yè)單位�。
一、等保2.0總體介紹
Q1.什么是等保�?
答:等保即網(wǎng)絡(luò)安全等級(jí)保護(hù),是指根據(jù)信息系統(tǒng)應(yīng)用業(yè)務(wù)重要程度及其實(shí)際安全需求��,實(shí)行分級(jí)�、分類、分階段實(shí)施保護(hù)���,保障信息安全和系統(tǒng)安全正常運(yùn)行����,維護(hù)國(guó)家利益、公共利益和社會(huì)穩(wěn)定��。網(wǎng)絡(luò)安全等級(jí)保護(hù)制度是我國(guó)信息安全保障的基本制度�����,也是我國(guó)網(wǎng)絡(luò)空間安全保障體系的重要支撐����。
Q2.為什么要做等級(jí)保護(hù)��?
答:1)國(guó)家法律要求:國(guó)家法律法規(guī)及行業(yè)監(jiān)管政策都要求開(kāi)展等級(jí)保護(hù)工作���。如《網(wǎng)絡(luò)安全法》和《信息安全等級(jí)保護(hù)管理辦法》明確規(guī)定信息系統(tǒng)運(yùn)營(yíng)����、使用單位應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度要求��,履行安全保護(hù)義務(wù)�����,如果拒不履行,將會(huì)受到相應(yīng)處罰�。
2)行業(yè)客戶服務(wù)要求:信息系統(tǒng)運(yùn)營(yíng)單位在向外部客戶提供業(yè)務(wù)服務(wù)時(shí),通過(guò)等保測(cè)評(píng)��,能向客戶及利益相關(guān)方展示信息系統(tǒng)安全性承諾�����,增強(qiáng)客戶��、合作伙伴及利益相關(guān)方的信心�����。
3)系統(tǒng)自身安全要求:信息系統(tǒng)運(yùn)營(yíng)�、使用單位通過(guò)開(kāi)展等級(jí)保護(hù)工作可以發(fā)現(xiàn)系統(tǒng)內(nèi)部的安全隱患與不足之處,可通過(guò)安全整改提升系統(tǒng)的安全防護(hù)能力�,降低被攻擊的風(fēng)險(xiǎn)。
Q3.什么是等保2.0�����?
答:隨著2019年5月13日����,《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》(GB∕T 22239-2019)(以下簡(jiǎn)稱等保2.0)正式發(fā)布�����,我國(guó)的網(wǎng)絡(luò)安全保護(hù)標(biāo)準(zhǔn)體系正式進(jìn)入到等保2.0階段�����。
“等保2.0”與《中華人民共和國(guó)網(wǎng)絡(luò)安全法》中的相關(guān)法律條文保持一致���,是指對(duì)網(wǎng)絡(luò)和信息系統(tǒng)按照重要性等級(jí)分級(jí)別保護(hù)的一種工作�����。保護(hù)對(duì)象包括基礎(chǔ)信息網(wǎng)絡(luò)(廣電網(wǎng)、電信網(wǎng)等)����、信息系統(tǒng)(采用傳統(tǒng)技術(shù)的系統(tǒng))、云計(jì)算平臺(tái)�、大數(shù)據(jù)平臺(tái)�、移動(dòng)互聯(lián)��、物聯(lián)網(wǎng)和工業(yè)控制系統(tǒng)等�����。
等保2.0標(biāo)準(zhǔn)于2019年12月1日起正式實(shí)行�����,等保2.0標(biāo)準(zhǔn)在1.0時(shí)代標(biāo)準(zhǔn)的基礎(chǔ)上�����,更加注重主動(dòng)防御�,從被動(dòng)防御到事前、事中���、事后全流程的安全可信�、動(dòng)態(tài)感知和全面審計(jì)��,不僅實(shí)現(xiàn)了對(duì)傳統(tǒng)信息系統(tǒng)���、基礎(chǔ)信息網(wǎng)絡(luò)的等級(jí)保護(hù)�,還實(shí)現(xiàn)了對(duì)云計(jì)算、大數(shù)據(jù)����、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)和工業(yè)控制信息系統(tǒng)的等級(jí)保護(hù)對(duì)象的全覆蓋���。
Q4.等保2.0保護(hù)對(duì)象等級(jí)怎么劃分�����?
答:等級(jí)保護(hù)的對(duì)象是網(wǎng)絡(luò)基礎(chǔ)設(shè)施��、信息系統(tǒng)����、大數(shù)據(jù)��、物聯(lián)網(wǎng)����、云平臺(tái)����、工控系統(tǒng)��、移動(dòng)互聯(lián)網(wǎng)����、智能設(shè)備等�。
等保的核心是等級(jí)保護(hù)、管理規(guī)范和技術(shù)標(biāo)準(zhǔn)���。等保要求組織企業(yè)和個(gè)人對(duì)信息系統(tǒng)進(jìn)行分等級(jí)的安全保護(hù)�,對(duì)安全保護(hù)的實(shí)施進(jìn)行監(jiān)督和管理���,從而保證安全信息系統(tǒng)的基礎(chǔ)安全�����。
|
受侵害的客體
|
對(duì)客體的侵害程度
|
|
一般損害
|
嚴(yán)重?fù)p害
|
特別嚴(yán)重?fù)p害
|
|
公民����、法人和其他組織的合法權(quán)益
|
第一級(jí)
|
第二級(jí)
|
第二級(jí)
|
|
社會(huì)秩序����、公共利益
|
第二級(jí)
|
第三級(jí)
|
第四級(jí)
|
|
國(guó)家安全
|
第三級(jí)
|
第四級(jí)
|
第五級(jí)
|
第一級(jí):信息系統(tǒng)受到破壞后��,會(huì)對(duì)公民�����、法人和其他組織的合法權(quán)益造成損害�����,但不損害國(guó)家安全���、社會(huì)秩序和公共利益;
第二級(jí):信息系統(tǒng)受到破壞后����,會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害����,或者對(duì)社會(huì)秩序和公共利益造成損害,但不損害國(guó)家安全�;
第三級(jí):信息系統(tǒng)受到破壞后,會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害�����,或者對(duì)國(guó)家安全造成損害�;
第四級(jí):信息系統(tǒng)受到破壞后,會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害����,或者對(duì)國(guó)家安全造成嚴(yán)重?fù)p害;
第五級(jí):信息系統(tǒng)受到破壞后�����,會(huì)對(duì)國(guó)家安全造成特別嚴(yán)重?fù)p害��。
二�����、等保2.0測(cè)評(píng)流程
目前我國(guó)實(shí)行的是等保2.0于2019年12月1日開(kāi)始實(shí)施��,等保2.0從傳統(tǒng)的信息系統(tǒng)�,轉(zhuǎn)變成具有基礎(chǔ)信息網(wǎng)絡(luò)平臺(tái)的多種新興技術(shù)對(duì)象,即具有網(wǎng)絡(luò)服務(wù)��,有數(shù)據(jù)的網(wǎng)絡(luò)服務(wù)平臺(tái)都可以成為新興的測(cè)評(píng)對(duì)象���。等保2.0備案從原來(lái)的自主定級(jí)改變成系統(tǒng)定級(jí)��,才能得到公安機(jī)關(guān)的備案�����。
目前等保測(cè)評(píng)結(jié)論分為優(yōu)�、良、中�����、差幾個(gè)級(jí)別���,70分以上才算及格�,90分以上算優(yōu)秀��。其具體判別依據(jù)如下:
1��、優(yōu):被測(cè)對(duì)象中存在安全問(wèn)題����,但不會(huì)導(dǎo)致被測(cè)對(duì)象面臨中、高等級(jí)安全風(fēng)險(xiǎn)���,且系統(tǒng)綜合得分90分以上�����,包含90分;
2����、良:被測(cè)對(duì)象中存在安全問(wèn)題���,但不會(huì)導(dǎo)致被測(cè)對(duì)象面臨高等級(jí)安全風(fēng)險(xiǎn)����,且系統(tǒng)綜合得分80分以上���,包含80分;
3���、中:被測(cè)對(duì)象中存在安全問(wèn)題,但不會(huì)導(dǎo)致被測(cè)對(duì)象面臨高等級(jí)安全風(fēng)險(xiǎn)����,且系統(tǒng)綜合得分70分以上,包含70分;
4����、差:被測(cè)對(duì)象中存在安全問(wèn)題�����,而且會(huì)導(dǎo)致被測(cè)對(duì)象面臨高等級(jí)安全風(fēng)險(xiǎn)���,或被測(cè)對(duì)象綜合得分低于70分。
等保2.0定級(jí)備案流程:確定定級(jí)對(duì)象����、初步確定等級(jí)、專家評(píng)審�����、主管部門(mén)審核����、公安機(jī)關(guān)備案審查、最終確定等級(jí)����。
圖片其中備案證明,測(cè)評(píng)報(bào)告���,測(cè)試結(jié)果通知書(shū)尤為關(guān)鍵��。
Q1.等保2.0怎么定級(jí)��?
答:信息系統(tǒng)定級(jí)備案工作��,甲方可以自己獨(dú)立完成��,也可以聘請(qǐng)等保測(cè)評(píng)機(jī)構(gòu)���、有等保安全建設(shè)服務(wù)機(jī)構(gòu)的安全廠商及其他有資質(zhì)單位協(xié)助完成定級(jí)備案工作。
定級(jí)參考《GAT 1389—2017信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》第四章 定級(jí)原理及流程�����。定級(jí)范圍:包括基礎(chǔ)信息網(wǎng)絡(luò)���、工業(yè)控制系統(tǒng)�����、云計(jì)算平臺(tái)�、物聯(lián)網(wǎng)���、其他信息系統(tǒng)�、大數(shù)據(jù)等。
以上信息確定好����,根據(jù)甲方信息系統(tǒng)及機(jī)房實(shí)際情況,編寫(xiě)《信息系統(tǒng)安全等級(jí)保護(hù)備案表》����、《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)報(bào)告》。
各級(jí)系統(tǒng)定級(jí)參考:
第一級(jí)(自主保護(hù)級(jí)):適用于小型私營(yíng)�����、個(gè)體企業(yè)��、中小學(xué)�、鄉(xiāng)鎮(zhèn)所屬信息系統(tǒng)、縣級(jí)單位中一般的信息系統(tǒng)����。
第二級(jí)(指導(dǎo)保護(hù)級(jí)):適用于縣級(jí)某些單位中的重要信息系統(tǒng);地市級(jí)以上國(guó)家機(jī)關(guān)���、企事業(yè)單位內(nèi)部一般的信息系統(tǒng)�����。例如非涉及工作機(jī)密����、商業(yè)機(jī)密、敏感信息的辦公系統(tǒng)和管理系統(tǒng)等��。
第三級(jí)(監(jiān)督保護(hù)級(jí)):一般適用于地市級(jí)以上國(guó)家機(jī)關(guān)����、企業(yè)、事業(yè)單位內(nèi)部重要的信息系統(tǒng)���,例如涉及工作機(jī)密、商業(yè)機(jī)密���、敏感信息的辦公系統(tǒng)和管理系統(tǒng)�;跨省或全國(guó)聯(lián)網(wǎng)運(yùn)行的用于生產(chǎn)��、調(diào)度����、管理、指揮、作業(yè)����、控制等方面的重要信息系統(tǒng)以及這類系統(tǒng)在省、地市的分支系統(tǒng)�����;中央各部委�、省(區(qū)�、市)門(mén)戶網(wǎng)站和重要網(wǎng)站;跨省連接的網(wǎng)絡(luò)系統(tǒng)等���。
第四級(jí)(強(qiáng)制保護(hù)級(jí)):一般適用于國(guó)家重要領(lǐng)域�����、部門(mén)中涉及國(guó)計(jì)民生���、國(guó)家利益、國(guó)家安全����、影響社會(huì)穩(wěn)定的核心系統(tǒng)��。例如電力生產(chǎn)控制系統(tǒng)�、銀行核心業(yè)務(wù)系統(tǒng)�、電信核心網(wǎng)絡(luò)、鐵路客票系統(tǒng)��、列車指揮調(diào)度系統(tǒng)等����。
第五級(jí)(專控保護(hù)級(jí)):一般適用于國(guó)家重要領(lǐng)域����、重要部門(mén)中的極端重要系統(tǒng)。
Q2.等保2.0怎么備案��?
答:對(duì)擬定為第二級(jí)及以上的網(wǎng)絡(luò)�,應(yīng)當(dāng)在網(wǎng)絡(luò)的安全保護(hù)等級(jí)確定后10個(gè)工作日內(nèi),到縣級(jí)以上公安機(jī)關(guān)備案����。二級(jí)及以上需要提交的備案材料例如定級(jí)報(bào)告�����、備案表,三級(jí)及以上需要提供組織架構(gòu)圖��、拓?fù)鋱D���、系統(tǒng)安全方案��、系統(tǒng)設(shè)備列表及銷售許可證等等�。因網(wǎng)絡(luò)撤銷或變更調(diào)整安全保護(hù)等級(jí)的���,應(yīng)當(dāng)在10個(gè)工作日內(nèi)向原受理備案公安機(jī)關(guān)辦理備案撤銷或變更手續(xù)���。
Q3.備案需要提供哪些材料?
紙質(zhì)版:
1�、信息系統(tǒng)安全等級(jí)保護(hù)備案表一式兩份(封面單位名稱處蓋章)。應(yīng)填寫(xiě)完整�、無(wú)漏項(xiàng),不得改動(dòng)備案表版面格式���。機(jī)打�,不可手寫(xiě)���,單面打印���。
2��、信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)報(bào)告一式兩份(定級(jí)表格處蓋章)�。機(jī)打�����,單面打印��。
3. 信息安全承諾書(shū)簽字蓋章����。法人親筆簽字。
4. 相關(guān)證件復(fù)印件各一份:工商營(yíng)業(yè)執(zhí)照(或執(zhí)業(yè)許可證���、事業(yè)單位證書(shū)�����、非盈利性機(jī)構(gòu)證書(shū)等許可證明)、法人代表身份證�����、組織機(jī)構(gòu)代碼證(如三證合一,省略)���。
5. 法人授權(quán)書(shū)(被授權(quán)人需攜帶本人身份證原件及復(fù)印件)����。
6. 實(shí)際辦公地的房產(chǎn)證或租房合同復(fù)印件��。
7.主機(jī)托管合同或云主機(jī)租用合同的復(fù)印件���。
8. 企業(yè)內(nèi)部信息安全部門(mén)��、技術(shù)部門(mén)組織架構(gòu)人員登記信息表��,左上角蓋章(表格中確定兩位24小時(shí)應(yīng)急處置網(wǎng)絡(luò)安全事件聯(lián)系人)����。
9.從事互聯(lián)網(wǎng)金融的企業(yè)(如網(wǎng)貸P2P平臺(tái)����、證券交易系統(tǒng)等),備案時(shí)需提交紙質(zhì)版《信息安全等級(jí)保護(hù)備案證明使用承諾書(shū)》法人親筆簽字����,加蓋單位公章�����。其他行業(yè)無(wú)需提交��。
(備案面審提交時(shí)請(qǐng)按照以上順序排列材料)
電子版壓縮包要求:以“單位全稱-系統(tǒng)名稱”命名壓縮包�,將以下文件放入壓縮包內(nèi)�,提交紙質(zhì)材料的同時(shí)在釘釘內(nèi)向負(fù)責(zé)民警提交電子版壓縮包。原件掃描件要求��,分辨率300dpi---jpg格式���。
1.備案表���、定級(jí)報(bào)告和信息安全承諾書(shū)蓋章掃描件
2.備案表和定級(jí)報(bào)告word版;
3.XX單位XX系統(tǒng)-專家評(píng)審意見(jiàn)(原件掃描件)
4.(三級(jí)系統(tǒng)備案時(shí)需提交)《XX單位-信息安全工作管理制度》(word版���,蓋章掃描件均可)
5.(三級(jí)系統(tǒng)備案時(shí)需提交)XX單位系統(tǒng)使用的安全產(chǎn)品清單及認(rèn)證���、銷售許可證明(蓋章掃描件)
6.(三級(jí)系統(tǒng)備案時(shí)需提交)單位拓?fù)鋱D及說(shuō)明(蓋章掃描件)
7.三級(jí)系統(tǒng)需提交備案表表四全部?jī)?nèi)容。
8.信息安全部、技術(shù)部組織架構(gòu)人員登記信息表�,可編輯版���。
9.工商營(yíng)業(yè)執(zhí)照副本原件掃描件(或執(zhí)業(yè)許可證���、事業(yè)單位證書(shū)、非盈利性機(jī)構(gòu)證書(shū)等許可證明)��、組織機(jī)構(gòu)代碼證原件掃描件(如三��、五證合一����,省略)
10.法人代表身份證原件掃描件;
11.備案表表一中單位負(fù)責(zé)人身份證原件掃描件��;
12.從事經(jīng)營(yíng)性公眾互聯(lián)網(wǎng)行業(yè)及有交易投資活動(dòng)的信息系統(tǒng)的企業(yè)需要提交《信息安全等級(jí)保護(hù)備案證明使用承諾書(shū)》
三���、等保2.0重點(diǎn)行業(yè)
Q1.等保2.0有哪些重點(diǎn)行業(yè)��?
答:等級(jí)保護(hù)2.0所涉及的行業(yè):
1.金融���,尤其是互聯(lián)網(wǎng)金融 (不做等保不允許經(jīng)營(yíng),監(jiān)管最嚴(yán))
2.醫(yī)療 (各大醫(yī)院系統(tǒng)必須做等保,互聯(lián)網(wǎng)醫(yī)療要想上線取得線上診療資質(zhì)����,必須過(guò)等保)
3.教育 (211,985大學(xué)必須做等保��,互聯(lián)網(wǎng)+教育如學(xué)生管理系統(tǒng)��、學(xué)校網(wǎng)站等重要系統(tǒng)必須做等保)
4.能源 (上級(jí)主管部門(mén)要求)
5.通信 (上級(jí)主管部門(mén)要求)
6.交通 (上級(jí)主管部門(mén)要求)
7.政府機(jī)關(guān)���,企事業(yè)單位���,央企(等保和負(fù)責(zé)人的績(jī)效考核掛鉤)
8.征信行業(yè)(行業(yè)要求必須做等保)
9.軟件開(kāi)發(fā)(行業(yè)或者甲方要求必須做等保)
10.物聯(lián)網(wǎng)(行業(yè)或者甲方要求必須做等保)
11.工業(yè)數(shù)據(jù)安全(行業(yè)或者甲方要求必須做等保)
12.大數(shù)據(jù)(行業(yè)或者甲方要求必須做等保)
13.云計(jì)算 (阿里云,華為云��,云電話�,云視頻,云服務(wù)等等)
14.快遞行業(yè)(不做等保不給換許可證)
15.酒店行業(yè)(屬于最近嚴(yán)查行業(yè))
四����、華信信息網(wǎng)絡(luò)安全等保2.0服務(wù)
Q1.華信信息可提供哪些等保2.0服務(wù)?
答:華信信息嚴(yán)格按照等保2.0的規(guī)范要求��,為客戶提供定級(jí)備案�����、等保差距分析、安全整改實(shí)施���、協(xié)助等級(jí)測(cè)評(píng)����、安全運(yùn)行維護(hù)5大階段的等保全生命周期解決方案���,保障順利完成項(xiàng)目建設(shè)與運(yùn)營(yíng)。
根據(jù)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估情況和等保差距情況�,結(jié)合客戶安全實(shí)際需求和建設(shè)目標(biāo),基于“公正嚴(yán)謹(jǐn)��、規(guī)范準(zhǔn)確���、創(chuàng)新科學(xué)�����、暖心服務(wù)”的理念��,華信信息為客戶提供等保整改方案設(shè)計(jì)服務(wù)����、等保制度編寫(xiě)與指導(dǎo)服務(wù)(管理部分)、等保整改實(shí)施服務(wù)(技術(shù)部分)��。
Q2.等保服務(wù)為什么選擇華信信息��?
答:1�����、專業(yè)團(tuán)隊(duì):華信信息擁有強(qiáng)大網(wǎng)安專家團(tuán)隊(duì)��,等保測(cè)評(píng)師團(tuán)隊(duì)����、信息系統(tǒng)審計(jì)師團(tuán)隊(duì)為客戶等保測(cè)評(píng)項(xiàng)目護(hù)航!
2����、優(yōu)質(zhì)服務(wù):華信信息目前擁有專業(yè)團(tuán)隊(duì),服務(wù)人員配置充足�����;7*24小時(shí)待命���,可實(shí)現(xiàn)一鍵式應(yīng)急響應(yīng)�����;可為企業(yè)提供定制網(wǎng)絡(luò)安全培訓(xùn)����,讓您的等保工作更省心、省時(shí)�、省力!
3�、高效服務(wù):華信信息已建立深圳市等級(jí)保護(hù)定級(jí)備案標(biāo)準(zhǔn)實(shí)踐���,輔之以專業(yè)的定級(jí)備案團(tuán)隊(duì)�、等保測(cè)評(píng)團(tuán)隊(duì)����、安全咨詢團(tuán)隊(duì),分工明確高效推進(jìn)����;與主管機(jī)構(gòu)有良好的溝通,可極速助您完成一站式等保測(cè)評(píng)��!
網(wǎng)絡(luò)基礎(chǔ)設(shè)施、信息系統(tǒng)���、大數(shù)據(jù)��、物聯(lián)網(wǎng)����、云平臺(tái)���、工控系統(tǒng)����、移動(dòng)互聯(lián)網(wǎng)���、智能設(shè)備等信息系統(tǒng)的等級(jí)保護(hù)��,華信信息均可預(yù)約�����,預(yù)約熱線:0755-21018313�����。若您有產(chǎn)品及可靠性方面測(cè)試及信息系統(tǒng)等保解決方案需求��,敬請(qǐng)垂詢�����!
