等保測(cè)評(píng)不是可選項(xiàng)而是國(guó)家法律規(guī)定的網(wǎng)絡(luò)安全基線(xiàn)?？衫斫鉃椋簢?guó)家為所有網(wǎng)絡(luò)系統(tǒng)頒發(fā)“安全駕照”，不同車(chē)型(系統(tǒng)等級(jí))需要不同的駕照(安全要求)，并要定期年審(測(cè)評(píng))。

  第一部分：等級(jí)保護(hù)體系——理解“游戲規(guī)則”

  等保體系概括為 “一個(gè)法律、五個(gè)等級(jí)、五個(gè)環(huán)節(jié)”。

  1.一個(gè)法律依據(jù)：

  《網(wǎng)絡(luò)安全法》第21條明確規(guī)定，國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。不做等保，屬于違法行為。

  2.五個(gè)安全等級(jí)(一至五級(jí)，逐級(jí)增高)

  第一級(jí)(自主保護(hù)級(jí))：

  系統(tǒng)被破壞后，損害公民、法人權(quán)益。無(wú)需測(cè)評(píng)，自主保護(hù)。(如：非核心的企業(yè)宣傳網(wǎng)站)

  第二級(jí)(指導(dǎo)保護(hù)級(jí))：

  系統(tǒng)被破壞后，損害公民、法人和社會(huì)秩序的權(quán)益。指導(dǎo)保護(hù)，每?jī)赡隃y(cè)評(píng)一次。(如：企業(yè)內(nèi)部OA、官網(wǎng)、一般業(yè)務(wù)系統(tǒng))

  第三級(jí)(監(jiān)督保護(hù)級(jí))：

  系統(tǒng)被破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，或?qū)?guó)家安全造成損害。強(qiáng)制監(jiān)督，每年測(cè)評(píng)一次。(如：政務(wù)系統(tǒng)、醫(yī)院核心HIS、金融交易、大型企業(yè)ERP)

  第四級(jí)(強(qiáng)制保護(hù)級(jí))：

  系統(tǒng)被破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害，或?qū)?guó)家安全造成嚴(yán)重?fù)p害。(如：電力調(diào)度、社保核心、公安部級(jí)系統(tǒng))

  第五級(jí)(專(zhuān)控保護(hù)級(jí))：

  系統(tǒng)被破壞后，會(huì)對(duì)國(guó)家安全造成特別嚴(yán)重?fù)p害。(國(guó)家級(jí)系統(tǒng))

  【關(guān)鍵點(diǎn)】：90%以上的企業(yè)和單位，核心系統(tǒng)集中在二級(jí)和三級(jí)。三級(jí)是投入和監(jiān)管的分水嶺。

  3.五個(gè)規(guī)定動(dòng)作(工作流程)

  這是你必須完成的五個(gè)步驟，順序不能亂：

  ① 定級(jí) → ② 備案 → ③ 建設(shè)整改 → ④ 等級(jí)測(cè)評(píng) → ⑤ 監(jiān)督檢查

  第二部分：系統(tǒng)定級(jí)工作——確定“考哪類(lèi)駕照”

  定級(jí)是起點(diǎn)，定錯(cuò)了后面全錯(cuò)。定級(jí)由運(yùn)營(yíng)使用單位(你)主導(dǎo)。

  定級(jí)方法(一個(gè)公式+兩個(gè)要素)

  系統(tǒng)等級(jí)由 “受侵害的客體”和 “對(duì)客體造成的侵害程度”共同決定。

  1.受侵害的客體(三個(gè)，逐級(jí)嚴(yán)重)

  公民、法人和其他組織的合法權(quán)益(對(duì)應(yīng)一、二級(jí))。

  社會(huì)秩序、公共利益(對(duì)應(yīng)三、四級(jí))。

  國(guó)家安全(對(duì)應(yīng)四、五級(jí))。

  2.侵害程度(三個(gè)，逐級(jí)嚴(yán)重)

  一般損害

  嚴(yán)重?fù)p害

  特別嚴(yán)重?fù)p害

  定級(jí)流程：

  1.梳理資產(chǎn)：列出所有需要定級(jí)的系統(tǒng)(如官網(wǎng)、APP后臺(tái)、CRM、生產(chǎn)系統(tǒng))。

  2.初步定級(jí)：對(duì)每個(gè)系統(tǒng)，業(yè)務(wù)部門(mén)和技術(shù)部門(mén)一起，對(duì)照上表打分。

  舉例：一個(gè)醫(yī)院預(yù)約掛號(hào)系統(tǒng)癱瘓：

  侵害客體：社會(huì)秩序和公共利益(大量患者無(wú)法就醫(yī))。

  侵害程度：嚴(yán)重?fù)p害(影響一個(gè)地區(qū))。

  結(jié)論：建議定為三級(jí)。

  舉例：一個(gè)企業(yè)內(nèi)部考勤系統(tǒng)癱瘓：

  侵害客體：公民、法人權(quán)益(員工無(wú)法打卡，企業(yè)考勤混亂)。

  侵害程度：一般損害。

  結(jié)論：建議定為二級(jí)。

  3.專(zhuān)家評(píng)審：

  組織專(zhuān)家(或聘請(qǐng)咨詢(xún)機(jī)構(gòu))對(duì)初步定級(jí)結(jié)果進(jìn)行評(píng)審，出具《定級(jí)專(zhuān)家評(píng)審意見(jiàn)》。

  4.主管部門(mén)審核：有上級(jí)主管單位的，需報(bào)批。

  5.公安機(jī)關(guān)備案：到屬地公安網(wǎng)安部門(mén)，提交《信息系統(tǒng)安全等級(jí)保護(hù)備案表》，取得《備案證明》。這是法定動(dòng)作!

  第三部分：整改檢查工作—— “根據(jù)考試大綱復(fù)習(xí)備考”

  定級(jí)備案后，就要對(duì)照國(guó)家標(biāo)準(zhǔn)(GB/T 22239-2019 《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》)進(jìn)行整改。這是最花錢(qián)、最花時(shí)間的部分。

  整改核心：滿(mǎn)足對(duì)應(yīng)等級(jí)的“安全通用要求”

  

  標(biāo)準(zhǔn)要求分為 “技術(shù)”和 “管理”兩大類(lèi)，共10個(gè)方面。

【關(guān)鍵點(diǎn)】：

  如何結(jié)合使用：

  等級(jí)保護(hù)（等保）是貫穿于信息化項(xiàng)目全生命周期的強(qiáng)制性安全框架。它在實(shí)際項(xiàng)目中的應(yīng)用，概括為 “從項(xiàng)目立項(xiàng)到系統(tǒng)下線(xiàn)，全程提供安全基線(xiàn)和合規(guī)準(zhǔn)繩”。

  深信安專(zhuān)注于為中大型及全球化企業(yè)提供高品質(zhì)一體化服務(wù)，包括IT資質(zhì),體系建設(shè),項(xiàng)目申報(bào),軍工/涉密等，7*24小時(shí)全天配備專(zhuān)業(yè)運(yùn)維及客服人員，致力為企業(yè)打造可信賴(lài)及綜合的智能化ICT解決方案。

  您可以直接撥打咨詢(xún)電話(huà):13823528464 孫經(jīng)理,我們將馬上安排資深顧問(wèn)為您介紹成功案例、產(chǎn)品詳情、定制化解決方案及報(bào)價(jià)等信息。

  官方網(wǎng)址：http://www.mqfsl.com/index.html

  公司地址：深圳市龍華區(qū)民治街道藍(lán)坤大廈1503室