等级保护概述

　　什么是等级保护?

　　信息系统安全等级保护是指对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。

　　为什么实行等级保护制度?

　　整体信息安全防范意识和能力薄弱

　　网络及信息安全问题关系国家安全

　　信息系统安全建设和管理缺乏体系化思想

　　信息安全法律法规不完善，标准体系尚待完善

　　等级保护有什么作用

　　等级保护法律法规1

　　《中华人民共和国网络安全法》

　　第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：

　　(一)制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任;

　　(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;

　　(三)采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月;

　　(四)采取数据分类、重要数据备份和加密等措施;

　　(五)法律、行政法规规定的其他义务。

　　第三十八条

关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。

　　《广东省计算机信息系统安全保护条例》

　　第十二条

第二级以上计算机信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合国家规定的安全等级测评机构，依据国家规定的技术标准，对计算机信息系统安全等级状况开展等级测评，测评合格后方可投入使用。

　　第十四条

第二级以上计算机信息系统，由运营、使用单位在投入运行后三十日内，到地级市以上人民政府公安机关备案。

　　第四十二条

计算机信息系统的运营、使用单位违反本条例第十四条规定，没有向地级市以上人民政府公安机关备案的，或者违反本条例第三十六条规定，接到公安机关要求整改的通知后拒不按要求整改的，由公安机关处以警告或者停机整顿。

　　等级保护法律法规2

　　《广东省计算机信息系统安全保护条例》

　　第四十条

违反本条例，有下列行为之一的，由公安机关责令限期改正，给予警告;逾期不改的，对单位的主管人员、其他直接责任人员可以处五千元以下罚款，对单位可以处一万五千元以下罚款:

　　(一)第二级以上计算机信息系统的运营、使用单位违反本条例第十一条规定，未建立安全保护组织的;

　　(二)第二级以上计算机信息系统的运营、使用单位违反本条例第十二条规定，计算机信息系统投入使用前未经符合国家规定的安全等级测评机构测评合格的;

　　(三)计算机信息系统的运营、使用单位未依照本条例第十六条第一款规定如实提供有关计算机信息系统安全保护的信息、资料及数据文件的;

　　(四)第二级以上计算机信息系统的运营、使用单位违反本条例第十七条规定，在重大突发事件应急处置中不服从公安机关和国家指定的专门部门调度的;

　　(五)第二级以上计算机信息系统的运营、使用单位未依照本条例第十八条规定建立安全管理制度的;

　　(六)第二级以上计算机信息系统的运营、使用单位未依照本条例第十九条规定采取安全保护技术措施的;

　　(七)接入互联网的计算机信息系统的运营、使用单位和互联网服务单位违反本条例第二十八条第二款规定，采取的安全保护技术措施不具有符合公共安全行业技术标准的联网接口的;

　　(八)接入服务提供者、信息服务提供者以及数据中心服务提供者违反本条例第二十九条规定，发现有害信息不及时采取删除、停止传输等技术措施的;

　　(九)含有计算机信息网络远程控制、密码猜解、漏洞检测、信息群发技术的产品和工具的生产者、销售者或者提供者违反本条例第三十条规定，没有向地级以上市人民政府公安机关备案的。

　　等级保护工作流程

　　等级保护工作实践

　　等级保护服务框架

　　服务保障整体效果

　　定级备案服务

　　差距测评服务

　　安全整改服务

　　验收测评服务

　　其他安全服务

本文是万方安全研究院原创文章，

转载请标明出处：http://www.dengjibaohu.org/news3/167.html