资质链服务号馨链科技公众号

等保概念

Isometric concept

将全国的信息系统(包括网络)按照重要性和受破坏后的危害性分成五个安全保护等级(从第一级到第五级逐级增高),定级后第二级以上系统到公安机关备案,公安机关审核合格后颁发备案证明;各单位各部门根据系统等级按照国家标准进行安全建设整改;聘请测评机构进行等级测评;公安机关定期开展监督、检查、指导。 “定级、备案、安全建设整改、等级测评、检查”五个规定动作。

等级保护标准体系演进

1.0版本

  • ▲ GB 17859-1999 《计算机信息系统安全等级划分准则》
  • ▲ GB/T 22240-2008 《信息系统安全等级保护定级指南》
  • ▲ GB/T 22239-2008 《信息系统安全等级保护基本要求》
  • ▲ GB/T 25058-2010 《信息系统安全等级保护实施指南》
  • ▲ GB/T 25070-2010 《信息系统等级保护安全设计技术要求》
  • ▲ GB/T 28448-2012 《信息系统安全等级保护测评要求》
  • ▲ GB/T 28449-2012 《信息系统安全等级保护测评过程指南》

2.0版本

  • ▲ GB 17859-1999 《计算机信息系统安全等级划分准则》
  • ▲ GB/T 22240 《网络安全等级保护定级指南》(正在修订)
  • ▲ GB/T 22239-2019 《网络安全等级保护基本要求》
  • ▲ GB/T 25058 《网络安全等级保护实施指南》(正在修订)
  • ▲ GB/T 25070-2019 《网络安全等级保护安全设计技术要求》
  • ▲ GB/T 28448-2019 《网络安全等级保护测评要求》
  • ▲ GB/T 28449-2018 《网络安全等级保护测评过程指南》

国家网络安全法

第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。

第二十五条网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。

第三十一条国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。

第三十五条关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。

第三十八条关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估。

第四十二条网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。

第七十二条国家机关政务网络的运营者不履行本法规定的网 络安全保护义务的,由其上级机关或者有关机关责令改正;对直接负 责的主管人员和其他直接责任人员依法给予处分。

行业性等保合规性文件

政务 金融 教育 医疗

定级

Grading

根据《信息安全等级保护管理办法》规定,国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。信息系统安全包括:业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同,因此信息系统定级也应由业务信息安全和系统服务安全两个方面确定。信息系统的安全保护等级分为五级,一至五级等级逐级增高。

主要工作内容

  • ① 辅助性客户开展测评
  • ② 安全整改规划
  • ③ 基数体系整改实施
  • ④ 管理体系整改实施
  • ⑤ 辅助正式测评

交付成果

  • ① 预测评报告
  • ② 安全整改规划
  • ③ 技术体系整改方案
  • ④ 管理体系整改方案
  • ⑤ 测评报告

成功案例

Successful case

  • 砺久觅新 汲取行业优点 积累服务经验创造企业资质服务新标杆

  • 高瞻远略 专业资质办理客服人员 解决企业资质办理过程中重重问题

  • 匠心经营 坚守公司经营理念 拒绝中间商赚取利润拒绝服务中途加价

  • 注重细节 注重细节服务 悉心采集需求合理执行方案 避免遗落任何环节