等保认证
等保(Information Security Level Protection)全称“信息安全等级保护”,是指根据信息系统在国家安全、社会稳定、经济秩序和公共利益方便的中重要程度以及风险威胁、安全需求、安全成本等因素,将其划分不同的安全保护等级并采取相应等级的安全保护技术、管理措施,以保障信息系统安全和信息安全。等保是一种标准方法体系,里面规定了方方面面。
- 1994年2月18日《中华人民共和国计算机信息系统安全保护条例》(1994年国务院147号令): 第1次提出“等级保护”概念
- 1999年《计算机信息系统安全等级保护划分准则》(GB17859-1999):国家发布关于等级保护强制
- 2007年6月公安部、保密局、国密局、国信办联合印发《信息安全等级保护管理办法》(公通字[2007]43号)
- 2008年《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239-2008):明确对于各等级信息系统的安全保护基本要求
- 2017年6月1日正式实施的《中华人民共和国网络安全法》中第二十一条明确规定:国家实行网络安全等级保护制度
继2017年《网络安全法》实施后,《数据安全法》、《个人信息保护法》等法律法规陆续出台, 数据信息安全保护的重要性也日渐凸显,于企业而言,信息安全就是企业数字化发展的生命线。
等保认证是什么
国家等级保护认证是中国最权威的信息产品安全等级资格认证,由公安机关依据国家信息安全保护条例及相关制度规定,对各机构的信息系统安全等级保护状况进行监督、检查及评定。
信息安全保护等级共分为5级,等级越高,意味着计算机信息安全保护能力越强。其中最高的是五级(涉密范畴),最低是一级(不需要评测)。
其中,等保三级是行业内公认的非银机构的最高认证,为「监管级别」,测评内容涵盖访问控制、安全审计、入侵防范、备份恢复、数据完整性和保密性等近 300 项技术标准和管理规范,共计 73 个测评分类,要求十分严格。
「三级等保」从各个层面上确保数据的安全存放和使用:
- 数据安全:数据完整性、数据保密性、备份与恢复等
- 物理安全:物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等
- 网络安全:结构安全、访问控制、安全审计、边界完整性检测、入侵防范、恶意代码防范、网络设备防护等
- 主机安全:身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制等
- 应用安全:身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、抗抵赖、软件容错、资源控制等
二级等保和三级等保的区别
二级等保和三级等保是信息系统安全等级保护的两个不同级别,其区别主要在于评定要求、测评内容、适用范围等方面。
根据《信息系统安全等级保护定级指南》规定,二级等保是指信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全;三级等保是指信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
二级等保适用于地市级以上国家机关、企业、事业单位内部一般的信息系统,小的局域网,非涉及秘密、敏感信息的办公系统等。而三级等保适用于地级市以上的国家机关、企业、事业单位的内部重要信息系统,重要领域、重要部门跨省、跨市或全国(省)联网运营的信息系统,各部委官网等。
简单来说,二级等保适用于地市级以上国家机关、企业、事业单位等,而三级等保适用于重要行业或重要领域的信息系统等。
等保认证对企业的重要性
三级等保认证是国家安全生产监督管理局颁发的国家信息安全等级保护认证,是企业信息化安全质量和能力的重要标志。
- 可以提高企业信息安全管理水平,有助于企业实现安全信息管理的全面性、综合性和系统性
- 可以为企业参与政府重大项目或财政资金支持等活动提供认可,从而提高企业的合法性和公信力,为企业发展提供保障
- 可以提高企业的信息系统安全管理能力,加强企业信息安全工作,提供企业信息安全水平,为企业发展护航
通过「等保三级」认证,意味着该系统拥有着高水平、全方位的信息安全防控体系,能够有效防范系统入侵和攻击,及时识别并预警安全漏洞,迅速恢复功能、修复故障,保障客户的数据信息不受窃取或损坏,从而避免出现重大信息安全事件,确保系统持续、稳定运行。
三级等保的认证流程
三级等保认证的具体程序包括系统定级、系统备案、建设整改、等级测评、监督检查五个阶段。至于审批时间,大概要 35-40 个工作日。
附:等保三级证书示例
等保测评收费标准
过等保三级费用包含等保测评、购买过等保设备费用。不考虑设备采购的情况下,纯等保测评的费用大致如下:
| 等保等级 | 初次测评 | 年度复测 | 备注 |
|---|---|---|---|
| 等保二级 | 6-12万 | 4-8万 | 不同城市、资产数量、云上云下都有所不同,仅供参考 |
| 等保三级 | 12-20万 | 8-15万 | 不同城市、资产数量、云上云下都有所不同,仅供参考 |
过”等保三级“认证需要哪些设备?
1、电子门禁系统
2、机房防盗报警系统以及监控报警系统
3、火灾自动消防系统
4、水敏感检测设备
5、机房专用空调
6、UPS或备用发电机
7、负载均衡
8、防火墙
9、准入准出设备
10、IDS或IPS
11、防火墙集成模块
12、日志审计系统、数据库审计系统、日志服务器
13、网络版杀毒软件
14、运维管理系统
15、堡垒机
16、数据备份系统、异地容灾
17、漏洞扫描设备
ISO27001与等保有何不同
同样都是信息安全相关标准,ISO27001与网络安全等级保护有哪些不同呢?
1、要求性质不同
从性质上说,等级保护的要求属于国家法律、法规,是强制性标准,也就是说是必须要遵守的。而ISO 27001是国际标准不具有强制性,企业可以根据自身需求来选择是否要要满足相关要求。
2、管理对象不同
等级保护的管理对象是信息系统,等级保护所有的要求都是针对不同等级的信息系统所提出的要求。而ISO27001的管理对象是组织,ISO27001所有的要求都是对组织的管理过程的要求。
3、管理思路不同
等级保护的控制要求都属于非常明确的要求,按照等级保护的要求直接实施即可,而ISO27001中的要求都是要建立相关管理控制,具体采用什么手段进行控制没有具体说明,采取什么类型的控制随着组织的风险水平、管理方式、企业文化不同而不同。
等保与分保有何不同
首先了解一下两者的定义:
- 等保:信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及开信息和存、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
- 分保:涉密信息系统分级保护是指涉密信息系统的建设使用单位根据分级保护管理办法和有关标准,对涉密信息系统分等级实施保护,各级保密工作部门根据涉密信息系统的保护等级实施监督管理,确保系统和信息安全。
两者之间的区别有哪些?
1、适用对象不同
等级保护的重点保护对象是网络和信息系统,是非涉密系统的安全防护标准。分级保护是所有涉及国家秘密的信息系统,是涉密系统的安全防护标准。
2、分级不同
等级保护分5个级别(由低到高):一级(自主保护级)、二级(指导保护级)、三级(监督保护级)、四级(强制保护级)、五级(专控保护级) ,分级保护分3个级别(由低到高):秘密级、机密级、绝密级。
3、监管部门不同
等级保护由公安部门监管,分级保护由国家保密局监管。