信息安全等级保护测评

image

什么是等级保护测评

信息安全等级保护测评是依据相关标准，为党政机关、企事业单位信息系统提供安全等级符合性检查及综合风险评估服务，出具系统当前防护能力是否满足信息安全保护等级相关要求的测评结论和报告。

等级保护测评的目的

• 合法合规：我国法律法规、相关政策制度要求建设有信息系统的单位应依法开展等级保护工作，如未按要求开展等保测评工作，则属于违法行为。

• 规避风险：按要求开展等级保护工作后，若系统收到意外攻击、破坏等，单位以及直接负责人可规避风险

• 提高系统安全性：提高信息系统的信息安全防护能力，降低系统被攻击的风险

等级保护支持文件

• 《中华人民共和国计算机信息系统安全保护条例》（1994年 国务院147号令）第九条 计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定。

• 《信息安全等级保护管理办法》（公通字[2007]43号）第十条 信息系统运营、使用单位应当依据本办法和《信息系统安全等级保护定级指南》确定信息系统的安全保护等级。有主管部门的，应当经主管部门审核批准。

• 《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》（公信安【2010】303号）明确提出“在全国部署开展信息安全等级保护测评体系建设和等级测评工作”、“督促备案单位开展等级测评工作，为开展等级保护安全建设整改工作奠定基础，使信息系统安全现状逐步达到等级保护要求。”

• 《中华人民共和国网络安全法》

• 第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。

• 第二十五条 网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险；在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。

• 第三十一条 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。 国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。

• 第三十三条 建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能，并保证安全技术措施同步规划、同步建设、同步使用。

• 第三十四条 除本法第二十一条的规定外，关键信息基础设施的运营者还应当履行下列安全保护义务： （一）设置专门安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进行安全背景审查； （二）定期对从业人员进行网络安全教育、技术培训和技能考核； （三）对重要系统和数据库进行容灾备份； （四）制定网络安全事件应急预案，并定期进行演练； （五）法律、行政法规规定的其他义务。

• 第三十八条 关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。

• 第五十九条 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。 关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。

等级保护评定标准

image

等级保护测评内容

image

举例 物理安全：如：物理位置选择，防盗防破坏，物理访问控制，温度湿度控制，电力供应，电磁防护，防水防潮等

系统建设：如：系统定级，安全方案设计，产品采购，自行软件开发，外包软件开发，工程实施，测试验收，工程交付等。

人员安全管理：如：人员录用，人员离岗，人员考核，安全意识教育和培训，外部人员访问管理等。

网路安全：如：结构安全，访问审计，安全审计，边界完整性检查，入侵防范，恶意代码防范，网络设备防范等。

image

电力行业相关等保信息

《电力行业信息系统安全等级保护定级工作指导意见》

《关于加强电力行业网络安全工作的指导意见》解读

1、电力监控系统 （强制） 2、DCS系统（集散控制系统）（火电厂）（强制） 3、NCS系统（电力网络计算机监控系统）（火电厂） 4、SIS系统（安全仪表系统） 5、办公系统

image

image

PS：目前一般的电力系统等保为三级，主要做以上几个系统，强制要做的是DCS系统，根据机组个数来确定做几个系统的等保（有三个机组就做三个系统的等保测评），（电力系统的级别有划分标准，二级三级都有）其他四个系统是选做的，根据客户的需求和能力来做。不同的等级报价不同，复测周期也不同，一般二级每两年做一次，三级每年做一次。

image

教育行业相关等保信息

教育行业相关定级依据

《中华人民共和国计算机信息系统安全保护条例》 国务院147号令

关于展开全国重要信息系统安全等级保护定级工作的通知（公信安 [2007] 861号）

《信息系统安全等级保护实施指南》 （GB/T 25058-2010）

《信息系统安全等级保护定级指南》 （GB/T 22240-2008）（教育部分有自己的定级指南）

教育行业相关系统

1、学校门户网站
2、财务管理系统
3、校园一卡通系统
4、就业管理系统

教育行业相关系统定级

image

image

image

卫生行业相关等保信息

卫生行业等级保护主要系统

《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知》

1、HIS系统（医院信息系统）
2、LIS系统（检验信息系统）
3、EMR系统（电子病例系统）
4、PACS系统（影像归档和通信系统）
5、办公系统
6、门户网站系统

卫生行业等保的相关定级

1.卫生统计网络直报系统、传染性疾病报告系统、卫生监督信息报告系统、突发公共卫生事件应急指挥信息系统等跨省全国联网运行的信息系统
2.国家、省、地市三级卫生信息平台，新农合、卫生监督、妇幼保健等国家级数据中心
3.三级甲等医院的核心业务信息系统
4.卫生部网站系统
5.其他经过信息安全技术专家委员会评定为第三级以上（含第三级）的信息系统