当前位置:首页>等级保护

等 保 概 述

信息安全等级保护制度是国家保障信息安全工作的基本制度基本国策基本方法,属于强制性制度。

等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。我国信息系统的安全保护等级分为五级。

形式所迫:

1)  境内外势力利用网络实施各种破坏活动的趋势越来越严重;

2)  不法分子进行网络盗窃、网络诈骗、黑客攻击等违法犯罪行为持续上升。

国情所需:

1)  信息系统核心设备、技术和高端服务主要依赖进口,安全隐患严重;

2)  我国的信息安全建设与信息化建设不同步,信息安全保障工作基础薄弱。

单位所求:

1)  单位信息化依赖程度越来越高,而大多数单位的信息系统建设重应用、轻安全,信息安全严重滞后于信息发展,安全隐患和风险越来越高;

2)  信息系统的主管、建设、使用者对如何搞好信息系统安全建设和管理、信息系统安全究竟存在什么问题、如何改进、需要多少投资等,把握不准。

等级保护的核心思想是:平衡不同等级信息系统的风险与成本,采取不同强度的保护措施,既反对重应用不重安全、防护措施不到位的“弱保护”现象,也反对不从实际出发,防护措施“一刀切”的“过保护”现象。

好处

信息安全无小事,不出问题就是成绩,出问题就是大问题。根据“谁主管谁负责,谁运营谁负责”的安全责任制,出现信息安全事故,要追究单位和相关人员的责任。

等级保护的好处有:

1)  有利于建立单位信息安全保障的长效机制;

2)  有利于减少信息安全保障工作盲目性,体现“明确重点、突出重点、保护重点”的目的;

3)  有利于明确国家、行业和单位的信息安全责任,分不同角色,落实不同部门和岗位的安全职责;

4)  有利于优化信息系统资源的配置,达到“少花钱,多办事”的功效;

5)  有利于在信息系统建设中同步建设安全设施,避免返工和重复建设;

6)  有利于为信息系统安全建设和管理提供系统化、针对性、可行性的指导和服务,达到事半功倍的效果。

工作内容

1)  系统定级:自主定级、专家评审、主管部门审批、公安机关监督;

2)  系统备案:第二级以上信息系统由信息系统运营使用单位到所在地设区的市级(含)以上国家监管部门办理备案;

3)  等级测评:由具有等级保护测评资质的机构,依据相应法规和标准对信息系统安全状况进行等级测评,出具《等级测评报告》提交国家监管部门备案;

4)  安全建设整改:对等级测评查出的安全隐患和薄弱环节,不能满足相应等级基本要求的,进行建设整改;

5)  监督检查:国家监管部门定期对第二级以上信息系统进行安全检查。

等级保护五个动作