一文了解等保測評的含義 開展等級保護工作的必要性分析

隨著網絡信息技術的快速發(fā)展，為了進一步規(guī)范對網站的管理，國家要求商家及企業(yè)進行等保測評。那等保測評是什么意思？下面，就跟龍翊信安yanga7609一起來看看吧。

一、等保測評是什么含義

等保測評的全稱是信息安全等級保護測評，是經部認證的具有資質的測評機構，依據國家信息安全等級保護規(guī)范規(guī)定，受有關單位委托，按照有關管理規(guī)范和技術標準，對信息系統安全等級保護狀況進行檢測評估的活動。

《信息安全等級保護管理辦法》第七條規(guī)定：

信息系統的安全保護等級分為以下五級：

第一級，信息系統受到破壞后，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益。

第二級，信息系統受到破壞后，會對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。

第三級，信息系統受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。

第四級，信息系統受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。

第五級，信息系統受到破壞后，會對國家安全造成特別嚴重損害。

二、為什么要開展等級保護工作

1、通過等級保護工作發(fā)現單位信息系統存在的安全隱患和不足，進行安全整改之后，提高信息系統的信息安全防護能力，降低系統被各種攻擊的風險，維護單位良好的形象。

2、等級保護是我國關于信息安全的基本政策，國家法律法規(guī)、相關政策制度要求單位開展等級保護工作。如《信息安全等級保護管理辦法》和《中華人民共和國網絡安全法》。

3、很多行業(yè)主管單位要求行業(yè)客戶開展等級保護工作，目前已經下發(fā)行業(yè)要求文件的有：金融、電力、廣電、醫(yī)療、教育等行業(yè)，還有一些主管單位發(fā)過相關文件或通知要求去做。

4、落實個人及單位的網絡安全保護義務，合理規(guī)避風險。

三、等保測評的主要內容是什么

1、物理安全：包括物理位置的選擇、物理訪問控制和防盜、防火、防水、防雷、溫濕度控制、電力供應、防靜電和電磁防護。

2、網絡安全：包括結構安全、安全審計、訪問控制、邊界完整性檢查、惡意代碼防范、入侵防范和網絡設備防護等。三級要求主要增強點：結構安全擴展到對重要網段采取可靠的技術隔離，在網絡邊界增加對惡意代碼檢測和清除；安全審計增強審計數據分析和保護，生成審計報表；訪問控制擴展到對進出網絡的信息內容過濾；

3、主機安全：包括身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范和資源控制等。三級要求主要增強點：身份鑒別要求對管理用戶采用組合鑒別技術；

4、應用安全：包括身份鑒別、訪問控制、安全審計、通信完整性、通信保密性、抗抵賴、軟件容錯和資源控制等。三級要求主要增強點：身份鑒別要求組合鑒別技術；訪問控制和安全審計基本同主機安全增強要求；要求對通信過程中的整個報文或會話過程進行加密；

5、數據安全：包括數據完整性和保密性、數據的備份和恢復。三級要求主要增強點：對系統管理數據、鑒別信息和重要業(yè)務數據在存儲過程和傳輸過程中完整性進行檢測和恢復，采用加密或其他有效措施實現以上數據傳輸和存儲的保密性；提供異地數據備份等。