之前回答了一个关于等级保护测评的问题,有学网络安全的学生私信我关于等保测评和等保测评师的问题。看来这个职业很小众啊,来科普一下。国家对网络安全越来越重视,计算机的毕业生可以考虑进入网安行业。
一、 什么是等级保护
等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作,指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
简单言之,就是将全国的信息系统(包括网络)按照重要性和受破坏后的危害性分成五个安全保护等级(从级到第五级逐级增高),定级后第二级以上信息系统到公安机关备案,公安机关对备案材料审核合格后颁发备案证明;各单位各部门根据系统等级按照国家标准进行安全建设整改备案单位聘请符合国家规定的等级测评机构进行等级测评。公安机关对第二级及以上信息系统定期开展监督、检查。
二、 为什么需要开展等级保护工作
等级保护是我们国家的基本网络安全制度、基本国策,也是一套完整和完善的网络安全管理体系。遵循等级保护相关标准开始安全建设是目前企事业单位的普遍要求,也是国家关键信息基础措施保护的基本要求。
网络安全等级保护为信息系统、云计算、移动互联、物联网、工业控制系统等定级对象的网络安全建设和管理提供系统性、针对性、可行性的指导和服务,帮助用户提供定级对象的安全防护能力。此外,《网络安全法》第二十一条明确规定“国家实行网络安全等级保护制度”
做好等级保护工作可以实现:
三、 等级保护法律法规及政策制定进程
1994年
1994年国务院颁布的 《中华人民共和国计算机信息系统安全保护条例》 规定,“计算机信息系统实行安全等级保护安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。
2003年
2003年中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27 号)明确指出,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。明确指出将等级保护制度作为我国信息安全领域的一项基本制度 。
2007年
2007年 6 月,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定了 《信息安全等级保护管理办法》(简称《管理办法》)明确了信息安全等级保护的具体要求。
2016年
2016年 11 月 7 日全国人民代表大会常务委员颁布会 《 中华人民共和国网络安全法 》 2017 年 6 月 1 日实施 ,网络安全法规定, 国家实行网络安全等级保护制度,网络运营者应当按照网络安全等级保护履行保护义务 。
2017年
2017年 7 月 10 日国家互联网信息办公室起草《 关键信息基础设施安全保护条例(征求意见稿) 》。
2018年
2018年 6 月 27 日 公安部会同有关部门起草了 《 网络安全等级保护条例 征求意见稿 》。
四、 等级保护工作具体包含哪些内容?
根据信息系统等级保护相关标准,等级保护工作总共分五个阶段,分别为:1)是信息系统定级。2)是信息系统备案。3)是系统安全建设。4)是信息系统开始等级测评。5)主管单位定期开展监督检查。
一)如何进行信息系统的定级备案
常用方式:各地级市的单位将定级资料交给各自地级市的网技支队,省级单位将资料交给省公安网安总队,特定行业有要求的另说,比如铁路行业交给管辖范围的铁路公安,也有部分地方是先将资料交到区县网安大队,再由区县网安大队转交地级市网安支队进行备案。
二)等级保护测评
等级保护测评(以下简称“等保测评”)指的是用户单位委托第三方有测评资质的测评机构对单位已定级备案的信息系统开展安全测试的过程,测试结束后出具相应的信息系统测评报告。
三)谁能做做等保测评?
1、 具有该省市信息安全等级保护协调小组办公室发放的《信息安全等级保护测评机构推荐证书》;
2、 测评机构在用户单位所在地级市公安网安部门备案。
四) 等保测评怎么样才算合格?