根据《信息系统安全等级保护基本要求》,三级等保的测评内容涵盖等级保护安全技术要求的5个层面和安全管理要求的5个层面,包含信息保护、安全审计、通信保密等在内的近300项要求,共涉及测评分类73类。通过“三级等保”认证,表明企业的信息安全管理能力达到国内高标准。
等保三级可以保障等保对象能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起恶意攻击、较为严重的自然灾害、以及其他相当危害程度威胁所造成的主要资源损害,能够发现安全漏洞和安全时间,在系统遭受损害后,能够较快恢复绝大部分功能。
三级的等保流程,包括定级、备案、建设整改、等级测评、监督检查五个阶段。
什么是网络安全等级保护?
网络安全等级保护是指对网络(含信息系统、数据)实施分等级保护、分等级监管,对网络中使用的网络安全产品实行按等级管理,对网络中发生的安全事件分等级响应、处置。
简单来说,网络安全等级保护是对网络进行分等级保护、分等级监管,是将网络、信息系统、网络上的数据和信息、按照重要性和遭受破坏后的危害性分成五个安全保护等级(从级到第五级,逐级增高);等级确定后,第二级(含)以上网络到公安机关备案,公安机关对备案材料和定级准确性进行审核,审核后颁发备案证明;备案单位根据网络的安全等级,按照国家标准开展安全建设整改,建设安全设施、落实安全措施、落实安全责任、建立和落实安全管理制度;选择符合国家要求的测评机构开展等级测评;公安机关对第二级网络进行指导,对第三、第四级网络定期开展监督、检查。
02
开展网络安全等级保护工作的流程
根据《信息安全等级保护管理办法》规定,等级保护工作主要分为五个环节,也就是我们通常我们所说的五个基本规定动作,分别为定级、备案、安全建设整改、等级测评、监督检查。
1、定级:网络运营者根据《网络安全等级保护定级指南》(GA/T1389)拟定网络的安全等级,组织召开专家评审会,对初步定级结果的合理性进行审批,出具专家评审意见,将初步定级结果上报行业主管部门进行审核。
2、备案:网络运营者根据要求将网络定级材料向公安机关备案,公安机关对定级准确,符合要求的网络发放备案证明。
3、安全建设整改:信息系统安全保护等级确定后,网络运营者根据网络安全保护等级,按照国家标准开展安全建设整改。
4、等级测评:信息系统建设完成后,网络运营者选择符合规定条件的测评机构,对三级以上网络(含国家关键信息基础设施)每年开展等级测评,查找发现问题隐患,提出整改意见。
5、监督检查:公安机关每年对网络运营者开展网络安全等级保护工作情况和网络的安全状况实施执法检查。
重要提示
根据《信息安全等级保护管理办法》中的第十四规定,第三级信息系统应当每年至少进行一次等级测评;第四级信息系统应当每半年至少进行一次等级测评;第五级信息系统应当依据特殊安全需求进行等级测评。