目录
等保标准
等保定级
发展
等保标准
《网络安全法》第二十一条提出“国家实行网络安全等级保护制度”。
等级保护标准体系:
(1)安全等级类标准
主要包括GB/T 22240-2008《信息安全技术 信息系统安全保护等级保护定级指南》 和 各类行业定义准则。
(2)方法指导类标准
主要包括GB/T 25058-2010《信息安全技术 信息系统安全等级保护实施指南》 (该标准于2010年颁布,主要是针对等级保护评估进行规范,其中包括了等级保护评估流程、评估方法、评估报告等方面的内容。)和 GB/T 25070-2010 《信息系统等级保护安全设计技术要求》等。
(其中《等级保护实施指南》原以公安部政策文件方式发布,后经修改以标注发布。)
(3)状况分析类标准
主要包括GB/T 28448-2012《信息安全技术 信息系统安全等级保护测评要求》 和 GB/T 28449-2012《信息安全技术 信息系统安全等级保护测评过程指南》等。
(其中在等级保护试点工作期间还发布过《等级保护测评准则》等文件,后经过修改以《等级保护测评要求》发布。)
(4)基线要求类标准
主要包括GB/T 22239-2008《信息安全技术 信息系统安全等级保护基本要求》(该标准于2008年颁布,主要对等级保护的理论体系和技术框架进行了完善,比如增加了安全性评估、风险评估等内容。)、GB/T 20271-2006《信息系统通用安全技术要求》、GB/T 21052-2007《信息系统物理安全技术要求》、GB/T 20272-2006《信息系统安全管理要求》、GB/T 20272-2006《操作系统安全技术要求》等数十份。
(其中,以《等级保护基本要求》为核心,在其下可以细分为就技术类、管理类和产品类等标准,分别对某些专门技术、管理和产品进行要求。)
等保定级
(1)定级:
计算机信息系统安全保护等级根据计算机信息系统在国家安全、经济建设、社会生活中的重要程度,计算机信息系统受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定,分为五级。
第一级:计算机信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级:计算机信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级:计算机信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级:计算级信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
(2)备案:
新建第二级以上信息系统,应当在投入运行后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
(3)安全建设和整改
计算机信息系统规划、设计、建设和维护应当同步落实相应的安全措施。运营、使用单位应当按照国家信息安全等级保护管理规范和技术标准,使用符合国家有关规定,满足信息系统安全保护等级需求的信息技术产品,开展信息系统安全建设或者改建工作。
(4)信息安全等级测评
在信息系统建设完成以后,二级以上的信息系统的运营使用单位应当选择符合国家规定的测评机构进行测评,合格后方可投入使用。已投入运行信息系统的完成系统整改后也应当进行测评。经测评,信息系统安全状况为达到安全部保护等级要求的,运营使用单位应当制订方案进行整改。
发展
网络安全等级保护是指根据我国网络安全法的要求,对关键信息基础设施按照一定的标准进行分级保护的措施。其发展历史可以大致分为以下几个阶段:
-
初期阶段(20世纪90年代至21世纪初):在这个阶段,我国开始建立自己的网络安全保护体系,首先提出了网络安全等级保护的概念,并制定了一些标准和规范。
-
中期阶段(21世纪初至中期):在这个阶段,我国加强了网络安全等级保护的标准和技术,制定了一系列标准和规范,如《关键信息基础设施安全保护指南》等。
-
后期阶段(21世纪中期至今):在这个阶段,我国进一步加强了网络安全等级保护的技术和标准,不断完善和优化体系。同时,为了更好地保护国家的关键信息基础设施,我国还出台了《网络安全法》,明确了网络安全等级保护的法律地位。