等保等级是什么?等保评级的对象和标准
等保等级是什么?等保评级是一项重要的国家战略,在保障网络安全上有重要作用。等保不仅能够提高信息系统的安全性和可靠性,通过等保评级,可以使信息系统按照不同的风险水平采取相应的安全措施,有效地防止和抵御各种网络攻击和威胁。
等保等级是什么?
等保评级是指对网络安全进行评估,以判断信息系统的安全等级。等保评级的目的是为了保护信息系统的安全,提升网络安全防御能力,预防和应对各种网络攻击和安全威胁。进行等保评级能够全面了解信息系统的安全状况,及时发现和修复潜在的安全风险,为企业和机构提供安全保障。同时,等保评级结果可以作为企业和机构在网络安全领域的重要参考指标,有助于提高其竞争力。
等保评级作为国家信息安全的基本制度,其源头可以追溯到1994年2月18日《中华人民共和国计算机信息系统安全保护条例》(国务院第147号令),这是我国第一部涉及信息安全的法规。随着互联网技术的快速发展,我国在2007年6月22日出台了《信息安全等级保护管理办法》(公通字[2007]43号),正式建立了网络安全等级保护制度。这一制度被称为等保1.0,主要针对传统的计算机信息系统进行安全分级、建设、测评和监督。
然而,等保1.0随着时间的推移,已经无法有效地应对新技术带来的信息安全风险,特别是云计算、大数据、物联网、移动互联以及人工智能等新技术不断涌现,计算机信息系统的概念已经不能涵盖全部,而且网络安全威胁也日益增多和复杂。为了满足新的技术挑战,我国在2017年6月1日正式实施了《中华人民共和国网络安全法》,将网络安全等级保护制度写入法律,并要求“网络运营者应当按照网络安全等级保护制度要求,履行安全保护义务”。
在此基础上,我国在2019年5月13日发布了《信息安全技术网络安全等级保护基本要求》,构建了以可信计算技术为基础的等级保护核心技术体系,并针对云计算、大数据、工业控制系统和移动互联技术等不同领域的安全保护需求提出了安全扩展要求。这一制度被称为等保2.0,是对等保1.0的升级和完善。
等保评级的对象和标准
等保评级的对象是指需要进行安全分级和测评的信息系统或者相关技术平台。根据《网络安全等级保护定级指南》,作为定级对象的信息系统应具有如下基本特征:
具有确定的主要安全责任主体;
承载相对独立的业务应用;
包含相互关联的多个资源。
云计算平台/系统应作为一个整体对象定级,云计算平台/系统中的各个资源不单独定级;
物联网应作为一个整体对象定级,主要包括感知层、网络传输层和处理应用层要素;
工业控制系统应作为一个整体对象定级,主要包括生产管理层、现场设备层、现场控制层和过程监控层要素;
采用移动互联技术的系统应作为一个整体对象定级,移动终端、移动应用和无线网络等要素不单独定级。
等保评级的标准是指根据信息系统的安全重要性和受到破坏后的危害程度,将信息系统划分为五个安全保护等级,分别是第一级(自主保护级)、第二级(指导保护级)、第三级(监督保护级)、第四级(强制保护级)和第五级(专控保护级),一至五级等级逐级增高。其中,第一级信息系统受到破坏后,对国家安全、社会秩序和公共利益造成的损害程度最低;第五级信息系统受到破坏后,对国家安全、社会秩序和公共利益造成的损害程度最高。
等保等级是什么?等保评级是一项涉及国计民生、关乎国家未来的重大工程,也是一项需要广泛参与、持续推进、不断完善的长期任务。在互联网时代,网络安全成为重中之重,有助于企业业务的安全开展。