网络安全等级保护

网络安全等级保护（与公安部联网，强制要求）：

对信息系统分等级进行安全保护和监管；

对信息安全产品的使用实行分等级管理；

对信息安全事件实行分等级响应、处置。

将全国的信息系统（包括网络）按照重要性和受破坏后的危害性分成五个安全保护等级（从第一级到第五级逐级增高），定级后第二级以上系统到公安机关备案，公安机关审核合格后颁发备案证明；各单位各部门根据系统等级按照国家标准进行安全建设整改；聘请测评机构进行等级测评；公安机关定期开展监督、检查、指导。

2017年6月1日，《中华人民共和国网络安全法》正式发布，第二十一条明确“国家实行网络安全等级保护制度……”

2017年5月，国家公安部发布《GT/T1389---2017网络安全等级保护定级指南》、《GAT/T1390.2---2017网络安全等级保护基本要求 》等4个公共安全行业等级保护标准

其他等级保护相关法律法规：

⦁ 个人信息保护法

⦁ 重要数据和敏感信息保护条例（中国版GDPR）

⦁ 关键信息基础设施保护条例

⦁ 其他行业性网络安全合规要求

信息安全等级保护2.0所涉及的行业：

1.金融，尤其是互联网金融 （不做等保不允许经营，监管最严）

2.医疗 （各大医院系统必须做等保，互联网医疗要想上线取得线上诊疗资质，必须过等保）

3.教育 （211，985大学必须做等保，互联网+教育如学生管理系统、学校网站等重要系统必须做等保）

4.能源 (上级主管部门要求）

5.通信 (上级主管部门要求）

6.交通 (上级主管部门要求）

7.政府机关，企事业单位，央企（等保和负责人的绩效考核挂钩）

8.征信行业（行业要求必须做等保）

9.软件开发（行业或者甲方要求必须做等保）

♥10.物联网（行业或者甲方要求必须做等保）

♥11.工业数据安全（行业或者甲方要求必须做等保）

♥12.大数据（行业或者甲方要求必须做等保）

♥13.云计算 （阿里云，华为云，云电话，云视频，云服务等等）

♥14.快递行业（不做等保不给换许可证）

♥15.酒店行业（属于最近严查行业）

《信息安全等级保护管理办法》（公通字[2007]43号“第七条

信息系统的保护等级分为以下五级：

第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益；

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全；

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。

从信息系统对国家安全、经济建设、公共利益等方面

的重要性，以及信息系统被破坏后造成危害的严重性

角度对信息系统确定的等级-重要性定级。

网络安全等级保护工作的作用对象，主要包括基础网络设施、信息系统（如工业控制系统、云计算平台、物联网、使用移动互联技术的系统、其他系统）以及数字资源等。

·定级要素一：受侵害的客体

•定级要素二：对客体的侵害程度

•定级要素与安全保护等级的对应关系

定级方法

• 系统识别

• 识别单位基本信息

• 识别管理框架

• 识别业务种类和业务流程

• 识别信息

• 识别网络结构

• 识别主要的软硬件设备

• 识别用户类型和分布

系统划分

• 分析安全管理责任，确定管理边界

• 分析网络结构和已有内外部边界

• 分析业务流程和业务间关系

·管理机构

• 业务特点

• 分析物理位置的差异

定级流程

1. 确定定级对象

2. 初步确定等级

3. 专家评审

4. 主管部门审核

5. 公安机关备案审查