《网络安全法》第二十一条规定,网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务。相信作为网络社会经营与服务活动的最重要主体,网络运营者最为关注的就是如何依据等保要求开展网络的建设、运营、维护和使用。
第五十九条 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
随着网络安全上升成法律,可以体现出现在信息安全的重要性,而前段时间大范围爆发的勒索病毒也恰好说明了信息安全的大环境是亟待改善的!随着《网络安全法》的发布,网络上各式各样的信息系统都必须为自己的安全负责,所以就需要信息安全等级测评!
实施的基本流程为6个阶段:等级保护对象定级与备案、总体安全规划、安全设计与实施、安全运行与维护、应急响应与保障、定级对象终止;其中应急响应与保障是本次修订增加的阶段。
--------------------------------------------------我是分隔线-----------------
等级保护对象定级与备案
等级保护对象定级备案,我们简称定级备案。定级备案是同一个阶段的两个过程,定级是根据保护对象(信息系统)收到损害时,所产生的危害确定的,等级保护对象分为5个等级,具体的划分标准如下:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
备案,是将保护对象的相关信息上报给公安机关做登记,生成备案号!
等级保护测评
测评是对保护对象(信息系统)的全方面评估,包括服务器、网络设备、中间件、物理机房、管理制度人员等;例如一个OA系统,那测评的范围包括了这个系统所在的物理机房,系统流量经过的网络设备,整个网络的结构安全,系统所在机房的管理制度等。
每个测评对象包含了不同的控制点跟测评项,依据保护对象等级不同而差异!
假设:二级的一台liunx服务器 包含8个控制点和19个测评项,三级的liunx服务器控制点会更多,测评项也更多!
可能有朋友不明白控制点是什么,简单来说,控制点是一个大项,一个控制点下包含几个测评项,就像水果的是一个控制点,香蕉就是测评项!控制点和测评项是由相关法律法规决定的,保护对象的整改程度也有相关要求!
测评过程不是10天20天能走完的,这其中的决定要素,更大的一部分取决于保护对象主体,也就是客户的处理效率!
以上皆是个人分享,各位看官轻点喷,如有不当之处,欢迎指出错误!O(∩_∩)O谢谢
