一、等級保護制度的由來


最早在1994年,國務院頒佈《中華人民共和國計算機信息系統安全保護條例》,規定計算機信息系統實行安全等級保護。 

2003年,《國家信息化領導小組關於加強信息安全保障工作的意見》明確指出“實行信息安全等級保護”。 

2007年6月,四部門(公安部、國家保密局、國家密碼管理局、國務院信息工作辦公室)聯合出台《信息安全等級保護管理辦法》。

2007年7月,四部門聯合頒佈《關於開展全國重要信息系統安全等級保護定級工作的通知》。

《信息安全等級保護管理辦法》全文共7章44條。辦法為加快推進信息安全等級保護,規範信息安全等級保護管理,提高信息安全保障能力和水平,維護國家安全、社會穩定和公共利益,保障和促進信息化建設提供了法律的依據。

至此,信息安全等級保護制度正式開始實施。史稱等保1.0。

 

二、等級保護制度的發展

2016年10月10日,第五屆全國信息安全等級保護技術大召開,等級保護制度已進入2.0時代”。

2016年11月7日,《中華人民共和國網絡安全法》正式頒佈,第二十一條明確“國家實行網絡安全等級保護制度……” 

2019年5月10日,《GB/T22239-2019 信息安全技術 網絡安全等級保護基本要求 》;正式發佈,習慣稱為等保2.0標準.同時廢止原等保1.0相關內容。

 

三、等級保護2.0

信息安全等級保護:

對信息和信息載體按照重要性等級分級別進行保護的一種工作,是指對國家重要信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統分等級實行安全保護,對信息系統中使用的信息安全產品實行按等級管理,對信息系統中發生的信息安全事件分等級響應、處置。

為了配合《中華人民共和國網絡安全法》的實施,同時適應雲計算、移動互聯、物聯網、工業控制和大數據等新技術、新應用情況下網絡安全等級保護工作的開展,需對 GB/T 22239—2008 (等保1.0)進行修訂。

修訂的思路和方法是調整原國家標準 GB/T 22239—2008 的內容,針對共性安全保護需求提出安全通用要求,針對雲計算、移動互聯、物聯網、工業控制和大數據等新技術、新應用領域的個性安全保護需求提出安全擴展要求,形成新的網絡安全等級保護基本要求標準。

 

2.0版本現有安全保護範圍包括:

安全通用要求:通用信息系統。

安全擴展要求:雲計算、移動互聯、物聯網、工業控制和大數據。

 

其中每一個保護範圍又包括技術和管理兩大項要求:每一項下面還包括若干的具體要求。

 

技術要求:

安全物理環境。

安全通信網絡。

安全計算環境。

安全區域邊界。

安全管理中心。 

 

管理要求:

安全管理制度。

安全管理機構。

安全管理人員。安全建設管理。安全運維管理。

 

四、安全保護等級:

等級保護對象是指網絡安全等級保護工作中的對象,通常是指由計算機或者其他信息終端及相關設備組成的按照一定的規則和程序對信息進行收集、存儲、傳輸、交換、處理的系統,主要包括基礎信息網絡、雲計算平台/系統、大數據應用/平台/資源、物聯網(IoT)、工業控制系統和採用移動互聯技術的系統等。我根據不同的等級保護對象,提供不同等級的保護手段,從低到高分為5個級別。


第一級:自主保護級

一般適用於小型私營、個體企業、中小學、鄉鎮所屬信息系統、縣級單位中一般的信息系統。

能夠防護擁有很少資源的威脅源發起的攻擊、一般的自然災害,以及其他相當危害程度的威脅所造成的關鍵資源損害,在自身遭到損害後,能夠恢復部分功能。


第二級:指導保護級

一般適用於縣級某些單位中的重要信息系統;地市級以上國家機關、企事業單位內部一般的信息系統。

能夠防護外部小型組織的、擁有少量資源的威脅源發起的惡意攻擊、一般的自然災難以及其他相當危害程度的威脅所造成的重要資源損害,能夠發現重要的安全漏洞和處置安全事件,在自身遭到損害後,能夠在一段時間內恢復部分功能。


第三級:監督保護級

一般適用於地市級以上國家機關、企業、事業單位內部重要的信息系統。

能夠在統一安全策略下防護來自外部有組織的團體、擁有較為豐富資源的威脅源發起的惡意攻擊、較為嚴重的自然災難,以及其他相當危害程度的威脅所造成的主要資源損害,能夠及時發現、監測攻擊行為和處置安全事件,在自身遭到損害後,能夠較快恢復絕大部分功能。


第四級:強制保護級

一般適用於國家重要領域、重要部門中的特別重要系統以及核心系統。 

能夠在統一安全策略下防護來自國家級別的、敵對組織的、擁有豐富資源的威脅源發起的惡意攻擊、嚴重的自然災,以及其他相當危害程度的威脅所造成的資源損害,能夠及時發現、監測發現攻擊行為和安全事件,在自身遭到損害後,能夠迅速恢復所有功能。 


第五級:專控保護級

一般適用於國家重要領域、重要部門中的極端重要系統。

能夠在統一安全策略下,在實施專用的安全保護的基礎上,通過可驗證設計增強系統的安全性,使其具有抗滲透能力,使數據信息免遭非授權的泄露和破壞,保證最高安全的系統服務。

 

五、等級保護系統定級

等級保護對象根據其在國家安全、經濟建設、社會生活中的重要程度,遭到破壞後對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等,由低到高被劃分為五個安全保護等級。

第一級:信息系統受到破壞後,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益。 

第二級:信息系統受到破壞後,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。

第三級:信息系統受到破壞後,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。

第四級:信息系統受到破壞後,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。

第五級:信息系統受到破壞後,會對國家安全造成特別嚴重損害。 

參加等級保護的單位可以根據以上的描述信息,對照的自己所屬的信息系統,向相關管理部門申請評定所屬級別,並按照對應的級別要求進行等級保護工作的開展。

 

六、等級保護的流程

1. 定級 

2. 備案 

3. 建設整改

4. 等級測評 

5. 監督檢查