00:00
上午
周一
1月1日
枫-WIKI

等保测评

YOUZAI2023/05/11运营安全等保测评

简介

等保测评是经公安部认证的具有资质的测评机构,依据国家信息安全等级保护规范规定,受有关单位委托,按照有关管理规范和技术标准,对信息系统安全等级保护状况进行检测评估的活动。全称是信息安全等级保护测评

概述

参照标准

  • GB/T 22239-2019《网络安全等级保护基本要求》。
  • GB/T 28448-2019《网络安全等级保护测评要求》。
  • GB/T 28449-2018《网络安全等级保护测评过程指南》。
  • GB/T 22240-2020《信息系统安全等级保护定级指南》。

等保对象

等级保护对象是指网络安全等级保护工作中的对象,通常是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换,处理的系统,主要包括基础信息网络、云计算平台/系统、大数据应用/平台/资源、物联网(IoT)、工业控制系统和采用移动互联技术的系统等。等级保护对象根据其在国家安全,经济建设,社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民,法人和其他组织的合法权益的危害程度等,由低到高被划分为五个安全保护等级

提示

保护对象的安全保护等级确定方法见GB/T 22240

安全等级

我们在日常工作中需要进行等级保护测评的系统是 2~4 级,经常遇到的是二级和三级信息系统,一级系统要求比较低,不需要进行测评,如果某个系统达到五级系统,那么这个系统很可能就已经涉密了,就不是等级保护范畴了,所以在技术要求里也没有五级的相关标准要求。

笔记

不同级别的等级保护对象应具备的基本安全保护能力如下,系统的重要程度从1~5级逐级升高

第一级安全保护能力[1]

应能够防护免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难,以及其他相当危害程度的威胁所造成的关键资源损害,在自身遭到损害后,能够恢复部分功能。

通常适用

小型私营、个体企业、中小学、乡镇所属信息系统、县级单位中一般的信息系统。

第二级安全保护能力[2]

应能够防护免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难,以及其他相当危害程度的威胁所造成的重要资源损害,能够发现重要的安全漏洞和处置安全事件,在自身遭到损害后,能够在一段时间内恢复部分功能。

通常适用

县级某些单位中的重要信息系统;地市级以上国家机关、企事业单位内部一般的信息系统。例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。

第三级安全保护能力[3]

应能够在统一安全策略下防护免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难,以及其他相当危害程度的威胁所造成的主要资源损害,能够及时发现、监测攻击行为和处置安全事件,在自身遭到损害后,能够较快恢复绝大部分功能。

通常适用

地级市以上国家机关、企事业单位内部重要的信息系统。例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统;跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统;中央各部委、省(区、市)门户网站和重要网站;跨省连续的网络系统等。

第四级安全保护能力[4]

应能够在统一安全策略下防护免受来自国家级别的,敌对组织的,拥有丰富资源的威胁源发起的恶意攻击,严重的自然灾难,以及其他相当危害程度的威胁所造成的资源损害,能够及时发现、监测发现攻击行为和安全事件,在自身遭到损害后,能够迅速恢复所有功能。

通常适用

国家重要领域、重要部门中的特别重要系统以及核心系统。例如电力、电信、广电、铁路、民航、银行、税务等重要部门的生产、调度、指挥等涉及国家安全、国计民生的核心系统。

第五级安全保护能力[5]

等级保护对象受到破坏后,会对国家安全造成特别严重损害。

通常适用

国家重要领域、重要部门中的极端重要系统。

等保要求

由于业务目标的不同、使用技术的不同、应用场景的不同等因素,不同的等级保护对象会以不同的形态出现,表现形式可能称之为基础信息网络、信息系统(包含采用移动互联等技术的系统)、云计算平台/系统、大数据平台/系统,物联网、工业控制系统等。形态不同的等级保护对象面临的威胁有所不同,安全保护需求也会有所差异。为了便于实现对不同级别的和不同形态的等级保护对象的共性化和个性化保护,等级保护要求分为安全通用要求[6]和安全扩展要求[7]

等保定级

安全保护措施的选择应依据上述定级结果,本标准中的技术安全要求进一步细分为:保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改的信息安全类要求(简记为S[8]);保护系统连续正常的运行,免受对系统的未授权修改,破坏而导致系统不可用的服务保证类要求(简记为A[9]);其他安全保护类要求(简记为G[10])。

GB/T 22239-2019标准中所有安全管理要求和安全扩展要求均标注为G。

由于等级保护对象承载的业务不同,对其的安全关注点会有所不同,有的更关注信息的安全性,即更关注对搭线窃听、假冒用户等可能导致信息泄密、非法篡改等;有的更关注业务的连续性,即更关注保证系统连续正常的运行,免受对系统未授权的修改,破坏而导致系统不可用引起业务中断。

提示

不同级别的等级保护对象,其对业务信息的安全性要求和系统服务的连续性要求是有差异的,即使相同级别的等级保护对象,其对业务信息的安全性要求和系统服务的连续性要求也有差异。

等保框架

在开展网络安全等级保护工作中应首先明确等级保护对象,等级保护对象包括通信网络设施、信息系统(包含采用移动互联等技术的系统)、云计算平台/系统、大数据平台/系统、物联网、工业控制系统等;确定了等级保护对象的安全保护等级后,应根据不同对象的安全保护等级完成安全建设或安全整改工作;应针对等级保护对象特点建立安全技术体系和安全管理体系,构建具备相应等级安全保护能力的网络安全综合防御体系。应依据国家网络安全等级保护政策和标准,开展组织管理、机制建设、安全规划、安全监测,通报预警、应急处置、态势感知,能力建设、监督检查,技术检测、安全可控、队伍建设、教育培训和经费保障等工作。

  1. 第一级保护能力:自主保护级。 ↩︎

  2. 第二级保护能力:指导保护级。 ↩︎

  3. 第三级保护能力:监督保护级。 ↩︎

  4. 第四级保护能力:强制保护级。 ↩︎

  5. 第五级保护能力:专控保护级。 ↩︎

  6. 安全通用要求:针对共性化保护需求提出,等级保护对象无论以何种形式出现,应根据安全保护等级实现相应级别的安全通用要求。 ↩︎

  7. 安全扩展要求:针对个性化保护需求提出,需要根据安全保护等级和使用的特定技术特定的应用场景选择性实现安全扩展要求。 ↩︎

  8. S:业务信息安全等级。 ↩︎

  9. A:系统服务安全等级。 ↩︎

  10. G:通用安全服务等级。 ↩︎

Edit this page
Last Updated 2023/6/30 16:13:01