在全球数字经济大发展的当下,网络和数据已经成为一项非常重要的“基础设施”,成为各国在未来经济、政治、科技等领域中都想占领的战略“新高地”。而随着近年网络安全事件的频繁爆发,其面临的信息安全威胁都在不断地提升,网络数据目前已经成为继陆海空天之后的第五大主权领域空间。为了维护网络空间安全进而保障国家安全,国家近年来密集出台了许多网络安全政策,大力推进网络信息安全产业发展,将网络安全上升到了国家安全的高度。
网络安全产品种类繁多,政府、电信、金融需求占比超过60%,与头部企业合作的华信信息近年来凭借自身优势,不断巩固网络安全这一核心业务的“护城河”优势。帮助政府、企事业单位提升数据安全合规意识和数据安全保障能力,已经为重点行业的多家企业提供了信息安全解决方案或服务,客户包括政府、企事业单位。
Q1.什么是等保?
答:等保即网络安全等级保护,是指根据信息系统应用业务重要程度及其实际安全需求,实行分级、分类、分阶段实施保护,保障信息安全和系统安全正常运行,维护国家利益、公共利益和社会稳定。网络安全等级保护制度是我国信息安全保障的基本制度,也是我国网络空间安全保障体系的重要支撑。
Q2.为什么要做等级保护?
答:1)国家法律要求:国家法律法规及行业监管政策都要求开展等级保护工作。如《网络安全法》和《信息安全等级保护管理办法》明确规定信息系统运营、使用单位应当按照网络安全等级保护制度要求,履行安全保护义务,如果拒不履行,将会受到相应处罚。
2)行业客户服务要求:信息系统运营单位在向外部客户提供业务服务时,通过等保测评,能向客户及利益相关方展示信息系统安全性承诺,增强客户、合作伙伴及利益相关方的信心。
3)系统自身安全要求:信息系统运营、使用单位通过开展等级保护工作可以发现系统内部的安全隐患与不足之处,可通过安全整改提升系统的安全防护能力,降低被攻击的风险。
“等保2.0”与《中华人民共和国网络安全法》中的相关法律条文保持一致,是指对网络和信息系统按照重要性等级分级别保护的一种工作。保护对象包括基础信息网络(广电网、电信网等)、信息系统(采用传统技术的系统)、云计算平台、大数据平台、移动互联、物联网和工业控制系统等。
等保2.0标准于2019年12月1日起正式实行,等保2.0标准在1.0时代标准的基础上,更加注重主动防御,从被动防御到事前、事中、事后全流程的安全可信、动态感知和全面审计,不仅实现了对传统信息系统、基础信息网络的等级保护,还实现了对云计算、大数据、物联网、移动互联网和工业控制信息系统的等级保护对象的全覆盖。
1.等保2.0保护对象等级怎么划分?
答:等级保护的对象是网络基础设施、信息系统、大数据、物联网、云平台、工控系统、移动互联网、智能设备等。
等保的核心是等级保护、管理规范和技术标准。等保要求组织企业和个人对信息系统进行分等级的安全保护,对安全保护的实施进行监督和管理,从而保证安全信息系统的基础安全。
第一级:信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益;
第二级:信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全;
第三级:信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害;
第四级:信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害;
第五级:信息系统受到破坏后,会对国家安全造成特别严重损害。
目前我国实行的是等保2.0于2019年12月1日开始实施,等保2.0从传统的信息系统,转变成具有基础信息网络平台的多种新兴技术对象,即具有网络服务,有数据的网络服务平台都可以成为新兴的测评对象。等保2.0备案从原来的自主定级改变成系统定级,才能得到公安机关的备案。
目前等保测评结论分为优、良、中、差几个级别,70分以上才算及格,90分以上算优秀。其具体判别依据如下
1、优:被测对象中存在安全问题,但不会导致被测对象面临中、高等级安全风险,且系统综合得分90分以上,包含90分;
2、良:被测对象中存在安全问题,但不会导致被测对象面临高等级安全风险,且系统综合得分80分以上,包含80分;
3、中:被测对象中存在安全问题,但不会导致被测对象面临高等级安全风险,且系统综合得分70分以上,包含70分;
4、差:被测对象中存在安全问题,而且会导致被测对象面临高等级安全风险,或被测对象综合得分低于70分。
等保2.0定级备案流程:确定定级对象、初步确定等级、专家评审、主管部门审核、公安机关备案审查、最终确定等级。
图片其中备案证明,测评报告,测试结果通知书尤为关键。
等保2.0怎么定级?
各级系统定级参考:
第一级(自主保护级):适用于小型私营、个体企业、中小学、乡镇所属信息系统、县级单位中一般的信息系统。
第二级(指导保护级):适用于县级某些单位中的重要信息系统;地市级以上国家机关、企事业单位内部一般的信息系统。例如非涉及工作机密、商业机密、敏感信息的办公系统和管理系统等。
第三级(监督保护级):一般适用于地市级以上国家机关、企业、事业单位内部重要的信息系统,例如涉及工作机密、商业机密、敏感信息的办公系统和管理系统;跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统;中央各部委、省(区、市)门户网站和重要网站;跨省连接的网络系统等。
第四级(强制保护级):一般适用于国家重要领域、部门中涉及国计民生、国家利益、国家安全、影响社会稳定的核心系统。例如电力生产控制系统、银行核心业务系统、电信核心网络、铁路客票系统、列车指挥调度系统等。
第五级(专控保护级):一般适用于国家重要领域、重要部门中的极端重要系统。
等保2.0怎么备案?
答:对拟定为第二级及以上的网络,应当在网络的安全保护等级确定后10个工作日内,到县级以上公安机关备案。二级及以上需要提交的备案材料例如定级报告、备案表,三级及以上需要提供组织架构图、拓扑图、系统安全方案、系统设备列表及销售许可证等等。因网络撤销或变更调整安全保护等级的,应当在10个工作日内向原受理备案公安机关办理备案撤销或变更手续。
备案需要提供哪些材料?
纸质版:
1、信息系统安全等级保护备案表一式两份(封面单位名称处盖章)。应填写完整、无漏项,不得改动备案表版面格式。机打,不可手写,单面打印。
2、信息系统安全等级保护定级报告一式两份(定级表格处盖章)。机打,单面打印。
3. 信息安全承诺书签字盖章。法人亲笔签字。
4. 相关证件复印件各一份:工商营业执照(或执业许可证、事业单位证书、非盈利性机构证书等许可证明)、法人代表身份证、组织机构代码证(如三证合一,省略)。
5. 法人授权书(被授权人需携带本人身份证原件及复印件)。
6. 实际办公地的房产证或租房合同复印件。
7.主机托管合同或云主机租用合同的复印件。
8. 企业内部信息安全部门、技术部门组织架构人员登记信息表,左上角盖章(表格中确定两位24小时应急处置网络安全事件联系人)。
9.从事互联网金融的企业(如网贷P2P平台、证券交易系统等),备案时需提交纸质版《信息安全等级保护备案证明使用承诺书》法人亲笔签字,加盖单位公章。其他行业无需提交。
(备案面审提交时请按照以上顺序排列材料)
电子版压缩包要求:以“单位全称-系统名称”命名压缩包,将以下文件放入压缩包内,提交纸质材料的同时在钉钉内向负责民警提交电子版压缩包。原件扫描件要求,分辨率300dpi---jpg格式。
1.备案表、定级报告和信息安全承诺书盖章扫描件
2.备案表和定级报告word版;
3.XX单位XX系统-专家评审意见(原件扫描件)
4.(三级系统备案时需提交)《XX单位-信息安全工作管理制度》(word版,盖章扫描件均可)
5.(三级系统备案时需提交)XX单位系统使用的安全产品清单及认证、销售许可证明(盖章扫描件)
6.(三级系统备案时需提交)单位拓扑图及说明(盖章扫描件)
7.三级系统需提交备案表表四全部内容。
8.信息安全部、技术部组织架构人员登记信息表,可编辑版。
9.工商营业执照副本原件扫描件(或执业许可证、事业单位证书、非盈利性机构证书等许可证明)、组织机构代码证原件扫描件(如三、五证合一,省略)
10.法人代表身份证原件扫描件;
11.备案表表一中单位负责人身份证原件扫描件;
12.从事经营性公众互联网行业及有交易投资活动的信息系统的企业需要提交《信息安全等级保护备案证明使用承诺书》
Q1.等保2.0有哪些重点行业?
答:等级保护2.0所涉及的行业:
1.金融,尤其是互联网金融 (不做等保不允许经营,监管最严)
2.医疗 (各大医院系统必须做等保,互联网医疗要想上线取得线上诊疗资质,必须过等保)
3.教育 (211,985大学必须做等保,互联网+教育如学生管理系统、学校网站等重要系统必须做等保)
4.能源 (上级主管部门要求)
5.通信 (上级主管部门要求)
6.交通 (上级主管部门要求)
7.政府机关,企事业单位,央企(等保和负责人的绩效考核挂钩)
8.征信行业(行业要求必须做等保)
9.软件开发(行业或者甲方要求必须做等保)
10.物联网(行业或者甲方要求必须做等保)
11.工业数据安全(行业或者甲方要求必须做等保)
12.大数据(行业或者甲方要求必须做等保)
13.云计算 (阿里云,华为云,云电话,云视频,云服务等等)
14.快递行业(不做等保不给换许可证)
15.酒店行业(属于最近严查行业)