-
等级保护基本概念
概念:对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
由来:《中华人民共和国计算机信息系统安全保护条例》(中办发【1994】147号)第一次提出了“计算机系统分等级保护”的概念。
思想:指对信息系统特别是对业务应用系统安全分等级、按标准进行建设、管理和监督。
核心:对信息系统特别是对业务应用系统安全分等级、按标准进行建设、管理和监管。
目标:突出重点,保障重要信息资源和重要信息系统的安全。
国家要求:国家法律法规和政策规范要求开展等级保护工作,如《中华人民共和国网络安全法》、《信息安全等级保护管理办法》等。
行业监管:各行业监管部门在等级保护方面均有相关的监管要求和政策文件要求,部分行业存在等级保护行业标准,以指导行业开展等级保护工作。
安全能力提升:等级保护制度体系是目前我国唯一成体系化的信息安全政策和标准,通过开展等级保护工作,能够提升信息安全保障能力,保障信息系统安全稳定运行。
规避法律风险:《中华人民共和国网络安全法》落地以后,等级保护工作已经上升到法律层面,网络运营者不开展等级保护工作可能违法并追究网络运营者及主管人员的法律责任。
1、依据国家网络安全法律法规和等级保护政策标准开展等级保护工作。
2、确定等级保护对象。
3、依然采用“一个中心、三重防护”的理念。
4、建立安全技术体系和安全管理体系,构建具备相应等级安全保护能力的网络安全综合防御体系。
5、开展组织管理、机制建设、安全规划、通报预警、应急处置、态势感知、能力建设、监督检查、技术检测、队伍建设、教育培训和经费保障等工作。