信息安全等级保护是什么意思?
信息安全等级保护是什么意思?
信息安全等级保护,是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作
《信息安全等级保护管理办法》规定,国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
1、等级保护对象的定级:根据等级保护相关管理文件,等级保护对象的安全保护等级一共分五个级别,从一到五级别逐渐升高。等级保护对象的级别由两个定级要素决定:受侵害的客体和对客体的侵害程度。
2、等级保护对象的备案:已运营(运行)的第二级以上信息系统,应当在安全保护等级确定后30日内(等保2.0相关标准已将备案时限修改为10日内),由其运营、使用单位到所在地设区的市级以上公安机关办备案手续。新建第二级以上信息系统,应当在投入运行后30日内(等保2.0相关标准已将备案时限修改为10日内),由其运营、使用单位到所在地设区的市级以上公安机关办备案手续。
3、等级保护的实施:根据《网络安全法》,第三级及以上信息系统每年或每半年就要进行一次测评。实施过程中需要遵循如下步骤:确定定级对象→初步确定等级→专家评审→主管部门审批→公安机构备案审查→最终确定的级别。
4、监督检测:企业最终确定网站的级别以后,就可以到公安机关进行备案。备案所需材料主要是《信息安全等级保护备案表》,不同级别的信息系统需要的备案材料有所差异。第三级以上信息系统需提供以下材料:系统拓扑结构及说明;系统安全组织机构和管理制度;系统安全保护设施设计实施方案或者改建实施方案;系统使用的信息安全产品清单及其认证、销售许可证明;测评后符合系统安全保护等级的技术检测评估报告;信息系统安全保护等级专家评审意见;主管部门审核批准信息系统安全保护等级的意见。