常见问题 > 等级保护的步骤是什么?等级保护如何定级

等级保护的步骤是什么?等级保护如何定级

作者:小编 发表时间:2024-08-16 10:20

  等级保护定级主要依据信息系统的安全保护等级,等级保护的步骤是什么?不少企业需要做好等保工作,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益造成损害。

  等级保护的步骤是什么?

  第一步:定级

  定级是指根据国家标准《信息安全技术网络安全等级保护定级指南》(GB/T22240-2020),确定网络的安全保护等级。

  网络的安全保护等级一共分为五个级别,从一到五逐渐升高。

  网络的安全保护等级由两个定级要素决定:受侵害的客体和对客体的侵害程度。

  受侵害的客体包括国家秘密信息、法人和其他组织及公民的专有信息以及公开信息。

  对客体的侵害程度包括对国家安全、国计民生、公共利益、法人和其他组织及公民合法权益造成的损害程度。

  根据受侵害的客体和对客体的侵害程度,可以确定网络中业务信息的安全等级和系统服务的安全等级。

  业务信息的安全等级和系统服务的安全等级中较高者确定为网络的安全保护等级。

  定级过程需要经过企业自主定级、专家评审、主管部门审核和公安机关审核四个环节。

  第二步:备案

  备案是指根据《网络安全法》规定,第二级以上网络在明确安全保护等级后10个工作日内,到县级以上公安机关备案,提交相关材料。

  备案材料包括:单位基本情况表、网络基本情况表、网络拓扑图、网络运行情况表、定级报告、专家评审意见书、主管部门审核意见书等。

  公安机关应当对网络运营者提交的备案材料进行审核。

  对定级准确、备案材料符合要求的,应在10个工作日内出具网络安全等级保护备案证明。

  第三步:建设整改

  建设整改是指根据国家标准《信息安全技术网络安全等级保护基本要求》(GB/T22239-2019)和《信息安全技术网络安全等级保护设计技术要求》(GB/T25070-2019),对网络进行安全建设或整改,提升网络的安全防护能力。

  建设整改工作分为五个步骤:

  落实建设整改工作部门,制定建设整改工作规划,进行总体部署;

  确定网络安全建设需求并论证;

  确定安全防护策略,制定网络安全建设整改方案(安全建设方案经专家评审论证,三级以上报公安机关审核);

  根据网络安全建设整改方案,实施安全建设工程;

  开展安全自查和等级测评,及时发现安全风险及安全问题,进一步开展整改。

  建设整改工作涉及技术层面和管理层面两个方面。

  技术层面包括:网络边界防护、网络访问控制、网络通信保护、网络运行监测、网络数据保护、网络身份鉴别、网络物理保护等。

  管理层面包括:网络安全组织管理、网络安全规章制度、网络安全人员管理、网络安全教育培训、网络安全事件管理、网络安全审计管理、网络安全综合治理等。

  第四步:等级测评

  等级测评是指经公安部认证的具有资质的测评机构,依据国家信息安全等级保护规范规定,受有关单位委托,按照有关管理规范和技术标准,对信息系统安全等级保护状况进行检测评估的活动。

  等级测评的目的是验证网络是否符合国家标准《信息安全技术网络安全等级保护测评要求》(GB/T28448-2019)和《信息安全技术网络安全等级保护测评过程指南》(GB/T28449-2018)的规定。

等级保护的步骤是什么.png

  等级保护如何定级?

  开展等保定级摸底调查:各单位、各部门对所属信息系统进行摸底调查,摸清信息系统底数,掌握信息系统的基本情况。

  确定等保定级对象:科学、合理地确定等保定级对象。

  初步确定信息系统等级:根据等保定级责任主体和等保定级要素,确定信息系统安全保护等级。

  新建系统的等保定级工作:在规划设计时同步规划、同步设计、同步实施安全保护技术措施和管理措施。

  信息系统等级评审:聘请专家进行评审,并出具专家评审意见。

  信息系统等级的审批:形成《定级报告》,如果专家评审意见与运营使用单位意见不一致时,由运营使用单位自主决定系统等级,并经上级主管部门对安全保护等级进行审核批准。

  等级保护的步骤是什么?网络安全等级保护是网络安全工作的基本方法,通过等级保护工作发现单位信息系统存在的安全隐患和不足,需要做等保的小伙伴赶紧收藏起来吧。