1、什么是等保测评
等保测评全称是信息安全等级保护测评,是经公安部认证的具有资质的测评机构,依据国家信息安全等级保护规范规定,受有关单位委托,按照有关管理规范和技术标准,对信息系统安全等级保护状况进行检测评估的活动。
判定受测系统的技术和管理级别与所定安全等级要求的符合程度,基于符合程度给出是否满足所定安全等级的结论,针对安全不符合项提出安全整改建议。
2、为什么要做等保测评
《网络安全法》
第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
第三十一条 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。
第五十九条 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
《中华人民共和国计算机信息系统安全保护条例》
第九条 计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。
《信息安全等级保护管理办法》
第二条 国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。
第十四条 第三级以上网络的运营者应当每年开展一次网络安全等级测评。教育行业规定二级信息系统每两年开展一次测评,第三级以上网络的运营者应当每年开展一次测评。
《国家信息化领导小组关于加强信息安全保障工作的意见》
国家的电子政务网络、重点业务信息系统、基础信息库以及相关支撑体系等国家电子政务工程建设项目(以下简称电子政务项目),应开展信息安全风险评估工作。
3、等保1.0和等保2.0有什么区别
等保1.0:2007年和2008年颁布实施的《信息安全等级保护管理办法》和《信息安全等级保护基本要求》。这部法规被称为等保1.0。经过10余年的实践,等保1.0为保障我国信息安全打下了坚实的基础。
等保2.0:等保2.0相关国家标准于2019年5月10日正式发布。2019年12月1日开始实施。这是我国实行网络安全等级保护制度过程中的一件大事,具有里程碑意义。
国家市场监督管理总局、国家标准化管理委员会发布了《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)《信息安全技术网络安全等级保护安全设计技术要求》(GB/T 25070-2019)《信息安全技术网络安全等级保护测评要求》(GB/T 28448-2019)3个网络安全领域的国家标准(2019年12月1日起实施),标志着我国进入等级保护2.0时代。
网络安全等级保护2.0新标准具有以下三个特点:
1)等级保护的基本要求、测评要求和安全设计技术要求框架统一,即:安全管理中心支持下的三重防护结构框架;
2)通用安全要求+新型应用安全扩展要求,将云计算、移动互联、物联网、工业控制系统等列入标准规范;
3)将可信验证列入各级别和各环节的主要功能要求。
总的来说等保 1.0 和等保 2.0 主要在五个方面进行了改革,修补了等保 1.0 缺乏对一些新技术和新应用的等级保护规范,更好适应新技术的发展。等保 2.0 的发布,是对除传统信息系统之外的新型网络系统安全防护能力提升的有效补充,是贯彻落实《中华人民共和国网络安全法》、实现国家网络安全战略目标的基础。
4、等保测评参考标准有哪些
《信息安全技术网络安全等级保护定级指南》(GB/T 22240-2020)
《信息安全技术网络安全等级保护实施指南》(GB/T 25058-2019)
《信息安全技术网络安全等级保护测评要求》(GB/T 28448-2019)
《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)
《信息安全技术网络安全等级保护安全设计技术要求》(GB/T 25070-2019)
《信息安全技术网络安全等级保护测评机构能力要求和评估规范》(GB/T 36959-2018)
《信息安全技术网络安全等级保护安全管理中心技术要求》(GB/T 28449-2018)
《信息安全技术 网络安全等级保护测评过程指南》(GB/T 28449-2018)
《电力信息系统安全等级保护实施指南》(GB/T 37138-2018)
《信息安全技术 网络安全等级保护测评评估技术指南》(GB/T 36627-2018)
《公安互联网系统信息安全等级保护要求》(GB/T 35317-2017)
《信息安全技术公钥基础设施PKI系统安全等级保护技术要求》(GB/T 21053-2007)
《信息安全技术公钥基础设施PKI系统安全等级保护评估准则》(GB/T 21054-2007)
5、等级保护测评的级别有哪些
根据《信息安全技术网络安全等级保护定级指南》的要求,等级保护对象的安全保护分为5级:
第一级(自主保护级):一般适用于小型私营、个体企业、中小学,乡镇所属信息系统、县级单位中一般的信息系统。
信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
依据国家有关管理规范和技术标准进行保护。
第二级(指导保护级):一般适用于县级其些单位中的重要信息系统;地市级以上国家机关、企事业单位内部一般的信息系统。例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。
信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
依据国家有关管理规范和技术标准进行保护。
要求备案,并接受国家信息安全监管部门的指导。
第三级(监督保护级):一般适用于地市级以上国家机关、企业、事业单位内部重要的信息系统,例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统。
跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统;中央各部委、省(区、市)门户网站和重要网站;跨省连接的网络系统等。
信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
依据国家有关管理规范和技术标准进行保护。
要求备案(可以进行专家评审)、测评(每年一次),并接受国家信息安全监管部门的监督、检查。
第四级(强制保护级):一般适用于国家重要领域、重要部门中的特别重要系统以及核心系统。例如电力、电信、广电、铁路、民航、银行、税务等重要、部门的生产、调度、指挥等涉及国家安全、国计民生的核心系统。
信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
依据国家有关管理规范、技术标准和业务专门需求进行保护。
必须进行专家评审、备案、测评(每半年一次),并接受国家信息安全监管部门的强制监督、检查。
第五级(专控保护级):一般适用于国家重要领域、重要部门中的极端重要系统。
信息系统受到破坏后,会对国家安全造成特别严重损害。
依据国家管理规范、技术标准和业务特殊需求进行保护。
必须进行专家评审、备案,依据特殊安全需求进行等级测评,并接受国家指定专门部门的专门监督、检查。
6、哪些系统需要做等保
党政系统
政府和党政机关内部使用政务内网系统或者一些机密的内网系统。
金融系统
金融系统:银行、保险、证券等内部使用的系统。
财税系统
财政、税务、工商等财务信息的系统。
经贸系统
商业贸易、海关等物流交易具有经济功能的系统。
电信系统
邮电、电信、广播、电视等系统。
能源系统
负责电力、热力、燃气、煤炭、油料的操作系统。
交通运输系统
航空、航天、铁路、公路、水运、海运等内部使用的操作系统。
供水系统
水利及水源供给的保障系统。
社会应急服务系统
医疗、消防、紧急救援管理系统。
互联网业务
车联网、互联网金融、电商、游戏、酒店、直播、互联网医疗、物联网、在线教育、物流等。
7、等级保护测评的主要内容是什么
等保测评有十个大项:安全物理环境、安全区域边界、安全计算环境、安全管理中心、安全通信网络、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。
8、等级保护测评的工作流程是怎样的
等级保护测评的工作流程包括定级、备案、安全建设、等级测评、监督检查五个阶段。