1.等級保護(hù)是國家信息安全的基本制度

　　隨著我國信息技術(shù)的快速發(fā)展，為維護(hù)國家安全和社會穩(wěn)定，維護(hù)信息網(wǎng)絡(luò)安全，國務(wù)院于1994年頒布了《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》(國務(wù)院147號令)。條例中規(guī)定：我國的“計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級保護(hù)。2003年中央辦公廳、國務(wù)院辦公廳轉(zhuǎn)發(fā)的《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》(中辦發(fā)[2003]27號)明確指出“實(shí)行信息安全等級保護(hù)”。2007年公安部會同國家保密局、國家密碼管理局和國務(wù)院信息化工作辦公室下發(fā)《信息安全等級保護(hù)管理辦法》(公通字[2007]43號)明確規(guī)定“定期對信息系統(tǒng)安全等級狀況開展等級測評”。“第三級信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次等級測評，第四級信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次等級測評……”。并制定了包括《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》(GB17859-1999)、《信息系統(tǒng)安全等級保護(hù)定級指南》、《信息系統(tǒng)安全等級保護(hù)基本要求》等50多個(gè)國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)，形成了信息安全等級保護(hù)標(biāo)準(zhǔn)體系。具體如下圖所示：

　　2012年，CSDN網(wǎng)站因未落實(shí)國家信息安全等級保護(hù)制度，造成了大量用戶信息泄露的嚴(yán)重后果。依據(jù)《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》，北京市公安局對CSDN網(wǎng)站運(yùn)營公司做出行政警告處罰。可見，開展等級保護(hù)工作是企業(yè)義不容辭的信息安全義務(wù)。

　　2.各行業(yè)或監(jiān)管部門落實(shí)信息安全等級保護(hù)工作的具體工作

　　隨著國家相關(guān)機(jī)關(guān)不斷出臺等級保護(hù)規(guī)范標(biāo)準(zhǔn)，各行業(yè)或監(jiān)管部門迅速發(fā)文響應(yīng)并落實(shí)行業(yè)內(nèi)信息系統(tǒng)安全等級保護(hù)工作。例如，衛(wèi)生部2011年印發(fā)(衛(wèi)辦發(fā)[2011]85號)《衛(wèi)生行業(yè)信息安全等級保護(hù)工作的指導(dǎo)意見》的通知，明確衛(wèi)生行業(yè)信息系統(tǒng)實(shí)行“定級備案、建設(shè)與整改、等級測評”工作。中國人民銀行2012年制定了《金融行業(yè)信息安全等級保護(hù)測評服務(wù)安全指引》、《金融行業(yè)信息信息系統(tǒng)信息安全等級保護(hù)測評指南》和《金融行業(yè)信息系統(tǒng)信息安全等級保護(hù)實(shí)施指引》，2013年制定了《征信機(jī)構(gòu)管理辦法》(中國人民銀行令[2013]第1號)，明確和規(guī)范金融機(jī)構(gòu)開展的信息系統(tǒng)安全等級保護(hù)測評工作。教育部2014年發(fā)布《教育部關(guān)于加強(qiáng)教育行業(yè)網(wǎng)絡(luò)與信息安全工作的指導(dǎo)意見》(教技[2014]4號)明確規(guī)定“各單位信息系統(tǒng)要按照教育行業(yè)有關(guān)規(guī)范準(zhǔn)確定級和備案”，“按照國際和教育行業(yè)有關(guān)標(biāo)準(zhǔn)規(guī)范要求進(jìn)行等級測評”。還有財(cái)政部、人力資源社會保障、交通運(yùn)輸行業(yè)、電力行業(yè)等監(jiān)管部門或行業(yè)都發(fā)布相應(yīng)文件明確落實(shí)信息系統(tǒng)安全等級保護(hù)工作，建立、健全信息安全管理制度，落實(shí)安全保護(hù)技術(shù)措施，全面貫徹落實(shí)信息安全等級保護(hù)制度。

　　3.等級保護(hù)測評的工作內(nèi)容

　　為了達(dá)到各級的安全保護(hù)能力要求，國家等級保護(hù)基本安全要求提出了技術(shù)要求和管理要求兩大類，涵蓋了物理(機(jī)房)、網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)安全、安全管理制度、安全管理機(jī)構(gòu)、人員、系統(tǒng)建設(shè)、系統(tǒng)運(yùn)維十個(gè)方面的內(nèi)容。如下圖所示。

　　信息系統(tǒng)安全等級保護(hù)測評(簡稱“等級保護(hù)測評”)包括系統(tǒng)定級、系統(tǒng)備案、安全建設(shè)整改、等級保護(hù)測評、定期安全檢查五個(gè)階段。等級保護(hù)工作的實(shí)施過程如下圖所示：

　　等級保護(hù)測評是指信息系統(tǒng)運(yùn)營、使用單位委托具有等級保護(hù)測評資質(zhì)的測評機(jī)構(gòu)對其建設(shè)的已定級的信息系統(tǒng)進(jìn)行等級保護(hù)測評過程，測評機(jī)構(gòu)在測評過程中采用訪談、檢查和測試三大類的測評方法，具體細(xì)分為人員訪談、文檔審查、配置核查、現(xiàn)場觀測和工具測試等五個(gè)小類，對信息系統(tǒng)進(jìn)行安全測評和風(fēng)險(xiǎn)評估，驗(yàn)證信息系統(tǒng)是否滿足相應(yīng)安全保護(hù)等級要求，并形成信息安全等級保護(hù)測評報(bào)告。其所包含的測評工作流程可參考下圖：

　　公安機(jī)關(guān)等安全監(jiān)管部門進(jìn)行信息安全等級保護(hù)監(jiān)督檢查時(shí)，系統(tǒng)運(yùn)營、使用單位必須提交由具有等級測評資質(zhì)的機(jī)構(gòu)出具的等級測評報(bào)告。

　　4.哪些行業(yè)需要進(jìn)行等級保護(hù)測評

　　政府機(jī)關(guān)：各大部委、各省級政府機(jī)關(guān)、各地市級政府機(jī)關(guān)、各事業(yè)單位等;

　　金融行業(yè)：金融監(jiān)管機(jī)構(gòu)、各大銀行、證券、保險(xiǎn)公司等;

　　電信行業(yè)：各大電信運(yùn)營商、各省電信公司、各地市電信公司、各類電信服務(wù)商等;

　　能源行業(yè)：電力公司、石油公司、煙草公司;

　　企業(yè)單位：大中型企業(yè)、央企、上市公司等;

　　其它有信息系統(tǒng)定級需求的行業(yè)與單位。

　　一些基于上級監(jiān)管單位要求和政策的強(qiáng)制要求開展等級保護(hù)測評的企業(yè)。例如，中國人民銀行要求征信機(jī)構(gòu)必須進(jìn)行等級保護(hù)測評，所以多數(shù)相關(guān)機(jī)構(gòu)會委托經(jīng)人民銀行和國家信息安全管理機(jī)構(gòu)批準(zhǔn)成立的認(rèn)證機(jī)構(gòu)CFCA(中國金融認(rèn)證中心)進(jìn)行測評。CFCA是國家級權(quán)威安全認(rèn)證機(jī)構(gòu)，是國家重要的金融信息安全基礎(chǔ)設(shè)施之一，匯集高、精、尖人才，擁有優(yōu)秀的管理團(tuán)隊(duì)和工作扎實(shí)、飽含激情與活力的員工隊(duì)伍。CFCA在2013年已獲得公安部頒發(fā)的《等級保護(hù)測評機(jī)構(gòu)能力評估合格證書》、《等級保護(hù)測評機(jī)構(gòu)推薦證書》，CFCA成立的信息安全實(shí)驗(yàn)室擁有40多名具備信息安全等級測評師資質(zhì)的工程師，大部分工程師在等級保護(hù)測評領(lǐng)域有五年以上的工作經(jīng)驗(yàn)，是國內(nèi)最權(quán)威的測評機(jī)構(gòu)之一。

　　5.組織中哪些信息系統(tǒng)需要實(shí)施等級保護(hù)

　　·電信、廣電行業(yè)的公用通信網(wǎng)、廣播電視傳輸網(wǎng)等基礎(chǔ)信息網(wǎng)絡(luò)，經(jīng)營性公眾互聯(lián)網(wǎng)信息服務(wù)單位、互聯(lián)網(wǎng)接入服務(wù)單位、數(shù)據(jù)中心等單位的重要信息系統(tǒng)。

　　·鐵路、銀行、海關(guān)、稅務(wù)、民航、電力、證券、保險(xiǎn)、外交、科技、發(fā)展改革、國防科技、公安、人事勞動和社會保障、財(cái)政、審計(jì)、商務(wù)、水利、國土資源、能源、交通、文化、教育、統(tǒng)計(jì)、工商行政管理、郵政等行業(yè)、部門的生產(chǎn)、調(diào)度、管理、辦公等重要信息系統(tǒng)

　　·市(地)級以上黨政機(jī)關(guān)的重要網(wǎng)站和辦公信息系統(tǒng)。

　　·涉及國家秘密的信息系統(tǒng)。

　　6.開展等級保護(hù)測評的益處

　　對于企業(yè)來說，實(shí)施信息安全等級保護(hù)測評能夠有效地提高單位信息和信息系統(tǒng)安全建設(shè)的整體水平，有效控制企業(yè)信息安全建設(shè)成本;有利于明確國家、法人和其他組織、公民的信息安全責(zé)任，加強(qiáng)企業(yè)信息安全管理。

　　對于信息系統(tǒng)來說，通過等級保護(hù)測評可及時(shí)發(fā)現(xiàn)信息系統(tǒng)安全狀況并制定方案進(jìn)行整改，當(dāng)信息系統(tǒng)完全達(dá)到安全保護(hù)能力要求時(shí)，信息系統(tǒng)就基本可做到“進(jìn)不來、拿不走、改不了、看不懂、跑不了、可審計(jì)、打不垮”。

　　具體包括：

　　·保障基礎(chǔ)設(shè)施安全，保障網(wǎng)絡(luò)周邊環(huán)境和物理特性引起的網(wǎng)絡(luò)設(shè)備和線路的持續(xù)使用。

　　·保障網(wǎng)絡(luò)連接安全，保障網(wǎng)絡(luò)傳輸中的安全，尤其保障網(wǎng)絡(luò)邊界和外部接入中的安全。

　　·保障計(jì)算環(huán)境的安全，保障操作系統(tǒng)、數(shù)據(jù)庫、服務(wù)器、用戶終端及相關(guān)商用產(chǎn)品的安全。

　　·保障應(yīng)用系統(tǒng)安全，保障應(yīng)用程序?qū)訉�網(wǎng)絡(luò)信息的保密性、完整性和信源的真實(shí)的保護(hù)和鑒別，防止和抵御各種安全威脅和攻擊手段，在一定程度上彌補(bǔ)和完善現(xiàn)有操作系統(tǒng)和網(wǎng)絡(luò)信息系統(tǒng)的安全風(fēng)險(xiǎn)。

　　·保障數(shù)據(jù)安全及備份恢復(fù)，保障數(shù)據(jù)完整性、數(shù)據(jù)保密性、備份和恢復(fù)等。

　　·安全管理體系保障。根據(jù)國家有關(guān)信息安全等級保護(hù)方面的標(biāo)準(zhǔn)和規(guī)范要求，建立一套切實(shí)可行的安全管理體系，加強(qiáng)安全管理機(jī)制。

         有需要網(wǎng)站二級，三級等級保護(hù)測評的可以聯(lián)系我們QQ:445916843

　　推薦閱讀

本文標(biāo)題：企業(yè)為什么要開展等級保護(hù)測評？

地址：http://m.sdlzkt.com/jishu/dengbao/304773.html

 1/2    1