网络安全等级保护的过程
文章目录
- 网络安全等级保护的过程
- 一.等级保护定级
- 1.信息系统安全保护等级
- 2.信息系统安全保护等级的定级要素
- A.受侵害的客体
- B.对客体的侵害程度
- 3.定级要素与安全保护等级的关系
- 4.定级方法
- A.确定定级对象
- B.确定定级对象的安全保护等级
- 5.等级变更
- 二、等级保护备案
- 1.定级备案依据
- 2.定级备案步骤
- 三、等级保护安全建设整改
- 1.安全管理制度建设
- 2.安全技术措施建设
- 四、等级保护等级测评
- 1.等级测评的作用
- 2.等级测评的时机
- 3.等级测评的基本过程
- 五、等级保护监督和检查
- 1.监督检查的意义
- 2.监督检查形式
- 3.监督检查的主要内容
网络安全等级保护的过程
信息系统等级保护
一.等级保护定级
《信息安全等级保护管理办法》 指出信息安全等级保护是以信息为核心的。根据 信息和信息系统在国家安全、经济建设、社会生活中的重要程度;遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度;针对信息的保密性、完整性和可用性的要求,以及信息系统必须达到的基本安全保护水平等因素,对最核心的信息和信息系统划分为五个安全保护和监管等级,实行分级保护。
1.信息系统安全保护等级
根据等级保护相关管理文件,
信息系统的安全保护等级分为以下五级:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
2.信息系统安全保护等级的定级要素
A.受侵害的客体
等级保护对象受到破坏时所侵害的客体包括以下三个方面:
(1)公民、法人和其他组织的合法权益;
(2) 社会秩序、公共利益;
(3) 国家安全
B.对客体的侵害程度
对客体的侵害程度由客观方面的不同外在表现综合决定。由于对客体的侵害是通过对等级保护对象的破坏实现的,因此,对客体的侵害外在表现为对等级保护对象的破坏,通过危害方式、危害后果和危害程度加以描述。等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种:
(1) 造成一般损害;
(2) 造成严重损害;
(3) 造成特别严重损害。
3.定级要素与安全保护等级的关系
4.定级方法
A.确定定级对象
基本原则是:
一是: 应用系统应按照不同业务类别单独确定为定级对象,不以系统是否进行数据交换、是否独享设备为确定定级对象条件。起传输作用的基础网络要作为单独的定级对象。
二是: 确认负责定级的单位是否对所定级系统具有安全管理责任。
三是: 具有信息系统的基本要素,由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。
B.确定定级对象的安全保护等级
第一步查看下表:
第二步查看下表:
最后一步: 作为定级对象的信息系统的安全保护等级由业务信息安全保护等级和系统服务安全保护等级的较高者决定。
5.等级变更
信息系统状态变化可能导致业务信息安全或系统服务受到破坏后的受侵害客体和对客体的侵害程度有较大的变化,可能影响到系统的安全保护等级时,应根据定级指南给出的定级方法重新定级。
二、等级保护备案
1.定级备案依据
《信息安全等级保护管理办法》、
《广东省计算机信息系统安全保护条例》
《信息安全等级保护实施指南》
《信息系统安全等级保护定级指南》
2.定级备案步骤
(1)开展信息系统基本情况的摸底调查。
(2)初步确定安全保护等级。
(3)等级评审与审批。
(4)按要求履行备案职责。
三、等级保护安全建设整改
1.安全管理制度建设
2.安全技术措施建设
四、等级保护等级测评
1.等级测评的作用
从被测单位的角度来看,被测单位可以全面掌握信息系统的安全状况,排查安全隐患和脆弱
点,确认安全保护措施是否符合等级保护的要求,明确进一步的安全整改需求;
从测评机构的角度来看,测评机构可以衡量被测单位安全保护管理措施的建设情况,确认安全管理机构及人员是否到位,检测管理制度是否在管理过程中落实,查找需要解决和整改的问题。
2.等级测评的时机
在安全建设整改之前开展测评, 被测单位可以通过测评分析信息系统现状与等级保护标准之间存在的差距,查找信息系统安全保护建设中存在的安全问题,使得安全建设整改的需求更为明确和具有针对性。
在安全建设整改之后开展测评, 被测单位可以评估信息系统安全保护措施的实际效果与落实情况是否符合等级保护的要求。对发现的不符合项和安全问题可继续整改,并建立长效的安全保障机制。
在信息运行维护期间, 应定期对系统进行安全等级测评,以检查安全保护措施是否持续有效运行,并及时发现新的安全问题及漏洞。对于第三级系统,应每年进行一次等级测评,第四级系统每年进行一次等级测评
3.等级测评的基本过程
等级测评由测评机构开展,分为四个阶段:测评准备、方案编制、现场测评、分析与报告编制,最终向被测单位出具等级测评报告。
五、等级保护监督和检查
1.监督检查的意义
在信息系统完成建设整改、等级测评工作,进入运行维护阶段后,会受到内在、外在各种因素的影响,如网络架构升级调整、设备更换、应用系统升级、人员离职等。为保障等级保护工作的持续有效性,必须建立监督检查机制,开展定期的管理评审、人员考核、系统漏洞扫描、渗透测试、应急预案检查及演练等工作。
2.监督检查形式
备案单位自查:
备案单位成立专门的等级保护管理小组,定期对本单位等级工作落实情况进行自查,包括信息系统安全状况、信息系统变更情况、安全管理制度及技术保护措施落实情况,排查运维过程中带入的新的安全隐患,确认管理过程是否按照要求执行,则否持续有效地对存在于系统中的安全问题进行了整改。
需要配合行业主管部门及公安机关的检查要求,提供相关资料和文档,发现安全事件时,应第一时间上报。
行业主管部门督导检查;
行业主管部门需根据自身行业的特点来建立督导检查制度,组织制定本行业的信息安全等级保护检查工作规范,定期开展检查工作,督促落实信息安全等级保护制度。
公安机关监督检查:
公安机关网络安全保卫部门,每年对第三级系统的运营使用单位进行一次工作检查,每半年对四级系统的运营使用单位进行一次工作检查。一般采取情况询问、材料核对、记录查阅、现场查看等方式,检查其安全设施建设、安全措施落实、安全管理制度建立、安全责任制度以及应急响应措施等。
3.监督检查的主要内容
(1)等级保护工作的开展和实施情况;
(2)信息系统定级备案情况,系统是否存在变更;
(3)安全责任落实情况,安全管理人员及技术人员设置情况;
(4)信息安全管理制度建设和落实情况;
(5)安全设施建设和安全整改情况;
(6)安全产品使用情况;
(7)测评机构开展等级测评的工作情况;
(8)开展信息安全技能培训情况;
(9)应急响应措施及演练情况等。