第一级:用户自主保护级
第二级:系统审计保护
级第三级:安全标记保护级
第四级:结构化保护级
第五级:访问验证保护级需要特别说明的:
1、最低为一级最高为五级。
2、一般常见的为二三级等级保护相关项目,四级以上需要中字头单位一般企业接触不到。
3、三级按照要求需要每年测评,二级不需要每年测评。一级不存在需要测评一说。
主要流程为:
定级-备案-审核-备案证明-等保测评-测评报告定级:确定应用系统对应等级保护等级一般为二级或三级。
定级-备案-审核-备案证明-等保测评-测评报告定级:确定应用系统对应等级保护等级一般为二级或三级。
备案:备案要填写一张表跟网站备案信息有点类似,主要是应用名称,单位主体,域名,IP,负责人等等,表的格式参照当地公安机关。
备案证明:备案资料交由公安机关审核,审核通过会发一个备案证明材料,不通过则需要重写。
等保测评:等级保护测评机构进行,测评要求基本为二级或三级的要求是否达到。
测评报告:通过与否都会给予测评报告,一般情况是一个项目测评会有两次,第一次是测评后可以整改,然后第二次测评通过。也可以做好整改后让第一次测评直接通过。
为什么从2017年后叫做等保2.0了呢?
原因是2017年6月1号,《网络安全法》出台,它提到,国家实行等级安全保护制度,注意,这时候等级保护已经成为法律制度,不做等保就是违法。同时,第31条说,如果单位系统非常非常重要,称之为“关键信息基础设施”,那么这个系统做等保还不够,还要在等保的基础上做重点保护。
2.0的思想导致我们要调整在1.0的法律法规。这时候,要在《网络安全法》基础上添加《网络安全等级保护条例(起草中)》、《关键信息基础设施保护条例(起草中)》。现在,这两个条例即将和大家见面。标准体系也相应地做了调整,这些标准已经在2019年与大家见面了,并在12月1日正式实施,这也是今年标准为何如此受到重视。
也就是说,未来等级保护用的就是这个新标准。当然,这只是等保标准,在此基础上还有关键基础设施保护标准。如果你们单位系统非常重要,除了等保,还要做相应的关键基础设施保护。这套标准马上也要和大家见面了。
总结一下,等级保护对象分为五级,第一二级国家认为是一般资产,三级以上包含重要资产以及关键资产。这些不同对象对应的监管力度也不一样。