一、信息安全等级保护的范围:
理论上有信息以及公开信息和存储、传输、处理这些信息的系统都要做分等级安全保护。没有系统理论上不需要做等级保护。
二、做等级保护的意义:
1、通过等级保护的评测、整改工作进行系统加固。
2、避免后期系统运营过程中的信息安全事件发生。
3、满足国家相关法律法规的要求。如《网络安全法》
4、满足相关主管单位和行业的要求。这条是很多医疗、金融机构取得更高认证的前置条件。
三、不做等级保护的后果:
由主管单位进行警告;如果不整改或不做等保而发生安全事故的则直接进行罚款。
四、等级保护的分类:
等级保护分为五级。一般在实践中常见为二级、三级。四级一般是金融重要业务系统的要求。
等保测评以信息系统为测评整体,并非按照单位去做。
如医院:
医院外网/办公网承载OA,网站,mail等二级信息系统
医院内网/业务网承载HIS,LIS,PACS等三级信息系统
其中,二级系统部分行业要求每两年测评一次,三级系统要求每年测评一次,四级系统每半年测评一次。
五、等级保护(2.0 云等保)的要求:
云等保总体分为两个部分,技术要求、管理要求。其中云服务商主要协助完成“技术要求”。物理和环境安全可以复用云平台自身的安全检测结果,而其它技术要求则需要叠加云上的安全服务产品进行满足。
六、等级保护工作流程:
明天继续!