网络安全等级保护是一项复杂的工程,其目的是保护软件或者系统数据安全。之所以称之为是一项复杂的工程,是因为该项认证需要经过定级、备案、建设、测评及检查等多项工序,通过软硬件对被保护软件或者系统进行全方面的加密及保护,从而加大数据的安全性。网络安全等级保护三级主要围绕储存用户信息的系统或软件提供保护,例如:金融、互联网、教育等。那么,网络安全等级保护三级如何认证?
PART.1
网络安全等级保护制度
网络安全等级保护制度,简称等保制度,是我国根据《中华人民共和国网络安全法》和《网络安全等级保护管理条例(征求意见稿)》等法律法规,针对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统,实施的一种分级分类、动态管理、综合保障的安全防护措施。
网络安全等级保护制度的目的是保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改,维护国家安全、社会秩序和公共利益,保护公民、法人和其他组织的合法权益。
PART.2
网络安全等级保护分级
第一级(自主保护级)
第二级(指导保护级)
第三级(监督保护级)
第四级(强制保护级)
第五级(专控保护级)
PART.3
哪些企业需要做网络安全等级保护?
根据《信息安全技术网络安全等级保护定级指南》等相关标准的规定,针对于备案单位而言,以下内容都属于实施等保的对象:
(1)起支撑、传输作用的信息网络(包括专网、内网、外网、网管系统),如某汽车局域网信息系统,某IDC机房等保三级业务系统;
(2)用于生产、调度、管理、作业、指挥、办公等目的的各类业务系统,要按照不同业务类别单独实施等保,不以系统是否进行数据交换、是否独享设备为必要条件。如企业内部的OA系统、人力资源管理系统以及ERP系统,某法院智能信息审判系统,某医院的信息化系统,某水电厂监控系统;
(3)各单位网站、邮件系统要作为独立的等保对象。如果网站的后台数据库管理系统安全级别较高,以及网上运行的信息系统,都要作为独立的等保对象。如企业内部/对外网站系统、某银行征信中心网站系统,12306火车票售票网站等;
(4)云平台、大数据、工业控制系统、物联网、移动互联网、卫星系统等,都属于等保对象的范围。
长按左侧二维码
添加客服微信
客服微信号:RZKF2017
PART.4
网络安全等级保护的认证流程
(以三级为例)
三级等保的流程一般为:系统定级→系统备案→整改实施→系统测评→运维检查,具体每一步流程步骤如下:
1、系统定级:
编写定级报告、填写定级备案表;
2、系统备案:
定级备案表填写完整后,将定级材料提交至公安机关进行备案审核;
3、整改实施:
对系统进行调研,开展差距评估,依照国家相关标准进行方案设计,完成相应设备采购及调整、策略配置调试、完善管理制度等工作
4、系统测评:
请当地测评机构,对系统进行全方面测评,测评评分合格后获得合格测评报告,并终获得等级保护备案证;
5、运维检查:
系统持续运维与优化,并按照相关要求进行年检。
PART.5
通过等级保护的目的和好处
通过等级保护有一下好处:
1、遵循国家法律法规要求,避免受到相应处罚;
2、提高信息系统的信息安全防护能力,降低系统被各种攻击的风险;
3、完成行业主管单位要求,确保公司业务有序进行;
4、落实个人及单位的网络安全保护义务,合理规避风险;
5、增强网络与信息系统的社会信誉度,树立良好的企业形象和品牌价值;
6、增强网络与信息系统的可靠性和可用性,提高业务运行的效率和质量。