信息系统安全等级保护的运用
发布时间:2021-06-28 13:57浏览次数:次
信息安全系统等级保护简称“等保”,等保是验证信息系统是否满足相应安全保护等级的评估过程。信息安全等级保护要求不同安全等级的信息系统应具有不同的安全保护能力,一方面通过在安全技术和安全管理上选用与安全等级相适应的安全控制来实现;另一方面分布在信息系统中的安全技术和安全管理上不同的安全控制,通过连接、交互、依赖、协调、协同等相互关联关系,共同作用于信息系统的安全功能,使信息系统的整体安全功能与信息系统的结构以及安全控制间、层面间和区域间的相互关联关系密切相关。因此,信息系统安全等级测评在安全控制测评的基础上,还要包括系统整体测评。
目前国内等保分为五个等级,具体的区别如下:
第一级安全等级最低,只影响个人和组织内部。具体来说,第一级是指信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。这一等级由信息系统运营、使用单位依据国家有关管理规范和技术标准进行保护。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。这一等级除了需要信息系统运营、使用单位依据国家有关管理规范和技术标准进行保护外,还需要国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。
当前等保主要涵盖领域一下领域:
1、政府机关;
2、银行、证券、保险等金融机构;
3、电信、邮政体系;
4、新闻、出版、广电单位;
5、电力、燃气、煤炭等能源组织;
6、航空、铁路、水路等运输企业;
7、国家重点工程建设单位;
8、重点科研、教育机构;
9、医疗、消费、应急等组织;
10、大型电商、P2P、支付、消费金融等大数据处理公司;
11、大型信息技术研发型企业;
等保检测重点
1、主机安全;
2、网络安全;
3、网络设备防护;
4、应用安全;
5、数据安全;
6、安全管理制度;
7、应急预案体系;
动环系统在等保系统中的运用
1、等保要求规范中,对等保机房的环境、出入安全等提出规范要求,需在机房内建立一套动环系统,对机房内的设备、环境、安防实行集中监控,保证机房的正常运行提供基础条件。常规的监测内容包括温度、湿度、精密空调、配电、UPS、漏水、烟感、消防状态,通过短信、电话、微信等方式通知使用者。
