1、时代背景
随着信息化的普及,信息系统的基础性、全局性日益突出,信息资源已成为重要的战略资源之一,保障信息安全成为信息化发展中的重要课题。
然而现实中存在信息安全意识和安全防范能力薄弱,信息安全滞后于信息化发展;信息系统安全建设和管理的目标不明确;信息安全保障工作的重点不突出;信息安全监督管理缺乏依据和标准;监管措施有待到位,监管体系尚待完善。
因此,为了维护国家安全和社会稳定,维护信息网络安全,国务院于1994年颁布了《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)。条例中规定:我国的“计算机信息系统实行安全等级保护”。2003年中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确指出“实行信息安全等级保护”。2007年公安部会同国家保密局、国家密码管理局和国务院信息化工作办公室下发《信息安全等级保护管理办法》(公通字[2007]43号)明确规定“定期对信息系统安全等级状况开展等级测评。
随着国家相关机关不断出台等级保护规范标准,各行业或监管部门迅速发文响应并落实行业内信息系统安全等级保护工作。例如,卫生部2011年印发(卫办发[2011]85号)《卫生行业信息安全等级保护工作的指导意见》的通知,明确卫生行业信息系统实行“定级备案、建设与整改、等级测评”工作。中国人民银行2012年制定了《金融行业信息安全等级保护测评服务安全指引》、《金融行业信息信息系统信息安全等级保护测评指南》和《金融行业信息系统信息安全等级保护实施指引》,2013年制定了《征信机构管理办法》(中国人民银行令[2013]第1号),明确和规范金融机构开展的信息系统安全等级保护测评工作。教育部2014年发布《教育部关于加强教育行业网络与信息安全工作的指导意见》(教技[2014]4号)明确规定“各单位信息系统要按照教育行业有关规范准确定级和备案”,“按照国际和教育行业有关标准规范要求进行等级测评”。还有财政部、人力资源社会保障、交通运输行业、电力行业等监管部门或行业都发布相应文件明确落实信息系统安全等级保护工作,建立、健全信息安全管理制度,落实安全保护技术措施,全面贯彻落实信息安全等级保护制度。
2、等保测评服务的概念
信息系统安全等级保护是国家信息安全保障工作的基本制度、基本策略、基本方法。开展信息系统安全等级保护工作不仅是加强国家信息安全保障工作的重要内容,也是一项事关国家安全、社会稳定的政治任务。信息系统安全等级保护测评工作是指测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对未涉及国家秘密的信息系统安全等级保护状况进行检测评估的活动。公安机关等安全监管部门进行信息安全等级保护监督检查时,系统运营使用单位必须提交由具有等级测评资质的机构出具的等级测评报告。
3、等保测评服务的目的
依据公安部、各大部委、省公安厅、行业监管机构等有关信息系统安全等级保护工作的部署要求,需对开展信息系统安全等级保护测评工作,对客户的信息系统进行差距测评,对照等级保护基本要求的标准查找差距,并针对存在的安全隐患以及未落实的安全措施,制订客户的信息系统整体信息安全防护方案,协助客户开展安全整改的实施工作。在整改加固的过程中,协助客户需要定级的系统撰写定级报告,同时协助客户完成某些需向公安机关备案的系统与检查工作,以致提高客户信息系统的安全保障能力。
4、您的收益
− 保障基础设施安全:保障网络周边环境和物理特性引起的网络设备和线路的持续使用。
− 保障网络连接安全:保障网络传输中的安全,尤其保障网络边界和外部接入中的安全。
− 保障计算环境的安全:保障操作系统、数据库、服务器、用户终端及相关商用产品的安全。
− 保障应用系统安全:保障应用程序层对网络信息的保密性、完整性和信源的真实的保护和鉴别,防止和抵御各种安全威胁和攻击手段,在一定程度上弥补和完善现有操作系统和网络信息系统的安全风险。
− 保障数据安全及备份恢复:保障数据完整性、数据保密性、备份和恢复等。
l 安全管理体系保障:根据国家有关信息安全等级保护方面的标准和规范要求,建立一套切实可行的安全管理体系,加强安全管理机制。