网络安全等级保护是国家网络安全保障的基本制度、基本策略、基本方法。
2004年,国家公安机关依据《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)和《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发【2003】27号)的相关要求,制定了《关于信息安全等级保护工作的实施意见》(公通字【2004】66号),并于2004年正式颁布了《信息安全等级保护管理办法》(公通字【2007】43号),文件要求一旦受到侵害,会对公民法人合法权益、公共利益、社会秩序、国家安全产生不同程度影响的信息系统,要根据业务重要程度及实际安全需求,实行分类、分级、分阶段的保护措施。
信息系统等级保护管理办法自颁布以来,一直是国家层面推动网络安全工作的重要抓手,特别是2017年6月1日《网络安全法》颁布以来,网络安全已上升到国家战略层面的高度,等级保护也逐渐成为一项强制要求在全国范围内推行。
网络安全等级保护安全建设工作是网络安全等级保护制度的核心和落脚点。等级保护建设的目标是在网络定级工作基础上深入开展网络安全等级保护安全建设整改工作,使网络系统可以按照保护等级的要求进行设计、规划和实施,并且达到相应等级的基本保护水平和保护能力。
依据网络安全等级保护三级标准,按照“统一规划、重点明确、合理建设”的基本原则,在安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心等方面进行安全规划与建设,确保“网络建设合规、安全防护到位”。
安全技术体系建设
安全技术体系的设计内容主要涵盖“一个中心、三重防护”。即安全管理中心、计算环境安全、区域边界安全、通信网络安全。
安全管理体系建设
安全管理体系的建设内容既从全局高度考虑为每个等级信息系统制定统一的安全管理策略,又从每个信息系统的实际需求出发,选择和调整具体的安全管理措施,最后形成统一的整体安全管理体系。
定级备案
协助用户确定定级资料及准备定级材料;协助用户准备评审材料;协助用户进行现场评审答疑;协助用户完成备案工作。
差距分析
对标等保2.0标准与现有客户情况进行差距分析,业务梳理,通过安全评估、网络检查、漏洞扫描、渗透测试等对客户情况进行差距分析。
建设整改
根据安全建设需求,结合差距分析结果制定需求方案,按照国家相关规范和技术标准,使用符合国家要求产品,进行建设整改。
等保测评
要求第三方有测评资质的公司进行等保测评,配合测评人员提供各类管理制度、技术资料、配置文档等,协助用户完成测评工作。
安全检查
配合用户单位开展自查,协助检查所需要的文档,配合公安机关进行现场检查,提供安全培训,安全巡检、安全应急等服务。