网络安全等级保护是指对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
网络安全等级保护是国家信息安全保障的基本制度、基本策略、基本方法。网络安全等级保护工作是对信息和信息载体按照重要性等级分级别进行保护的一种工作。信息系统运营、使用单位应当选择符合国家要求的测评机构,依据《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》等技术标准,定期对信息系统开展测评工作。
测评机构受有关单位委托,依据网络安全等级保护制度规定,运用科学的手段和方法,对被测评的信息系统,采用安全技术测评和安全管理测评方式,对保护状况进行检测评估,判定受测系统的技术和管理级别与所定安全等级要求的符合程度,基于符合程度给出是否满足所定安全等级的结论,针对不符合项提出安全整改建议。
开展网络安全等级保护工作是保障重要信息系统的重大措施,也是一项事关国家安全、社会稳定、国家利益的重要任务,是信息安全保障工作中国家意志的体现。
★ 《中华人民共和国网络安全法》【第二十一条】国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
★ 《关于信息安全等级保护工作的实施意见》中明确信息安全等级保护工作要突出重点、分级负责、分类指导、分步实施,按照谁主管谁负责、谁运营谁负责的要求,明确主管部门以及信息系统建设、运行、维护、使用单位和个人的安全责任,分别落实等级保护措施。
★ 公安部《关于开展信息安全等级保护安全建设整改工作的指导意见》,依据信息安全等级保护有关政策和标准,通过组织开展信息安全等级保护安全管理制度建设、技术措施建设和等级测评,落实等级保护制度的各项要求,使信息系统安全管理水平明显提高,安全防范能力明显增强,安全隐患和安全事故明显减少,有效保障信息化健康发展,维护国家安全、社会秩序和公共利益。
信息系统运营、使用单位通过开展等级保护工作可以发现系统内部的安全隐患与不足之处,可通过安全整改提升系统的安全防护能力,降低被攻击的风险。
围绕等级保护政策开展工作,达到信息化建设周期的等保合规,能满足以下要求:
履行法律、行政法规规定的信息安全管理义务,免受追究相关责任。
达到公安机关、行业主管部门的安全监管要求,完成等保合规。
通过等保测评,发现信息系统的安全隐患与不足之处,突出重点,提升信息安全防护能力。
通过等保测评,能向合作伙伴及利益相关方展示信息系统安全性承诺,增强合作伙伴及利益相关方的信心。
