一、什么是等保
“等保”即信息安全等级保护,是我国网络安全领域的基石政策。
自2017年起,公安部评估中心依据网信办和信安标委建议,将五个基本要求标准合并为《信息安全技术 网络安全等级保护基本要求》(GB/T 22239—2019),取代了2008年的旧版本。
新标准自2019年12月1日起正式实施。
二、为什么要进行等保
1. 安全标准:等保是衡量系统安全性的关键指标,用于评估系统是否达到预定的安全保护水平。
2. 法律规定:《网络安全法》与《信息安全等级保护管理办法》强制要求网络运营者履行安全保护义务,否则将面临法律处罚。
3. 自我检查:通过等保可以对系统进行全面检查,发现并改正潜在的安全隐患。
三、等保涵盖哪些方面
等保涉及全面的系统安全标准,不仅包括程序安全,还包含物理安全、应用安全、通信安全、边界安全、环境安全和管理安全等方面。
- 物理安全:确保机房访问控制,防火、防雷击,以及适当的温湿度和电力供应。
- 应用安全:包括身份验证、访问控制、安全审计等。
- 通信安全:保障网络架构和通信传输的安全性。
- 边界安全:包括防护措施、访问控制等。
- 管理安全:涵盖系统管理、审计管理和安全管理等方面。
四、等保1.0与2.0的区别
等保1.0基于1994年国务院颁布的指导标准和2008年发布的《GB/T22239-2008》。
而等保2.0则以《中华人民共和国网络安全法》为法律支持,采用2019年更新的《GB/T22239-2019》作为指南。
等保2.0引入新技术和管理要求,强调构建以可信技术为核心的全面防御体系,同时扩展云计算和物联网等新兴领域的安全需求。
五、等保分几个级别?
等保分为五个级别,级别越高,安全性越强。
- 一级:用户自主保护级,最低级别,无需测评,仅需提交资料审核。
- 二级:系统审计保护级,适用于多数系统,支持到地级市各机构及企业。
- 三级:安全标记保护级,适用于更高级别的国家机关和企业。
- 四级:适用于国家重要领域和核心系统。
- 五级:最高级别,通常用于国家机密部门。
六、等保测评流程是怎样的?
等保测评包含五个阶段:定级、备案、建设整改、等级测评和监督检查。
完成建设整改后,需选择合规的测评机构按国标进行等级测评,并向监管部门提交报告。
七、等保是法律要求的吗?
确实,《网络安全法》与相关管理办法明确要求网络运营者必须履行安全保护义务,不履行会受到法律处罚。
八、等级测评师的需求日益增加
随着市场对测评需求的增长,等级测评师的需求同样在上升。
然而,参与项目测评需要具备《网络安全等级测评师证书》,这设定了一定的门槛。
国家政策的推动使得许多有意从事此类工作的人士看到了良好的发展前景。
北京青蓝智慧科技13521730416
从事等保工作必备:数据安全评估师CCRC-DSA ,数据安全官CCRC-DSO 数据合规官CCRC-DCO,首席数据官CCRC-CDO,CCAI-CDO,工信部电子标准化研究院CDO,ITSSIT服务项目经理,服务项目工程师, CISAW应急服务方向, ISO27001 网络安全相关专业认证.