软件三级等保是什么?
经常有人问 “三级等保是什么?”、“等保2.0是什么?”、“什么是等保?” “信息安全”、“网络安全是不是信息安全”等诸如此类的问题,所以这篇文档希望能用最简单的语言解释清楚“等保2.0”和“三级等保”之间的关联关系。
等保和等级保护
“等保”和“等级保护”是一个简称, 全称为:信息安全等级保护 。名字来源 2007年发布的 《信息安全等级保护管理办法》,业内俗称 “等保1.0” (就像软件开发中的1.0版本一样),所以2007年的时候“等保”这个词就来了。
等保2.0和等级保护2.0
2017年,《中华人民共和国网络安全法》的正式实施,《网络安全法》中第21条明确“国家实行网络安全等级保护制度。”,同时2018年至2020年又更新了相关国家标准,从这个时候起,大家都开始叫做 “等保2.0” 了有如下变化:
| 项目 | 2007年 | 2017年 |
|---|---|---|
| 名词 | 信息安全等级保护 | 网络安全等级保护 |
| 俗称 | 等保1.0 | 等保2.0 |
| 顶层标准 | 《信息安全等级保护管理办法》 | 《中华人民共和国网络安全法》 |
| 性质 | 管理办法(行政法规) | 国家法律(你懂的) |
| 区别 | 只包含软件应用系统 | 除了软件应用本身以外,还包含其他各个方面;如物理、网络、主机、应用、数据等等 |
划重点:国家法律中并没有出现“等保2.0”、“等级保护2.0”等字样,只是业内的一种约定俗称的叫法而已,同时搜索也应该从“信息安全”字样改为“网络安全”,所以你去官网搜等保2.0是无法搜索到的。
- 2007年发布“等保1.0”后,直到2017年左右,最大的变化肯定是移动互联网、云计算等等,所以“等保1.0”发布的时候还有这些技术,所以已经无法约束了
- 想想这十余年间的技术变化:移动互联网、云计算、大数据、物联网、工业互联网、新能源汽车、移动支付等等 变化非常大吧
- 数据大爆发时代,想想2007年的时候,还在发短信,用的是2G,不会有那么多数据,现在呢,电商、5G+,而且物联网、短视频等等各类数据,大多了
- 数据泄露,现在每个人几乎都能接到各种骚扰电话,这还是在国家管控的情况下,如果不管控,会有可能的数据泄露,到时候可能不只是骚扰电话了,甚至电诈,想想缅北
三级等保
在“等保2.0”(《网络安全法》)中,由低到高一共5个等级,“三级等保” 表示 “第三级等级保护”, 即 “等级保护对象受到破坏后,会对社会秩序和公共利益造成严重危害,或者对国家安全造成危害;”。 国家规定一共有5个保护等级,具体如下:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
是不是读完这句话再次感受到了中文的“博大精深”,一时看不懂,不过不要因这句话而怀疑国家的标准,如果你想了解具体含义的话,请阅读国家标准《网络安全等级保护定级指南(GB/T22240-2020)》 ,其实是非常清晰明了的。
http://c.gb688.cn/bzgk/gb/showGb?type=online&hcno=63B89FFF7CC97EBBBED8A403396F0F00
为什么大家总在说三级等保
就我国的实际情况来看,按照上述的《网络安全等级保护定级指南(GB/T22240-2020)》标准,最常见的是等保二级和等保三级。 对于国家和企业而言,通常三级保护已经能满足大部分场景了,所以经常说“三级等保”。
那么如何评定一个系统应该是哪一级呢?
关于这个问题,网上有很多文章都是错误的,如下错误示例:
按照行业划分的,如工业企业需要三级,教育行业需要二级,电商行业需要二级,政府的系统需要三级,金融的需要四级等等
按照数据划分的,如电商行业,有收货地址 敏感信息,就必须三级,数据大于100万的,必须三级等等
甚至按照 主观意愿的,“我觉得三级,嗯,那应该就是三级”...
以上几点都是错误的,等保2.0标准不再自主定级,而是需要经过“定级流程”最终确定下来的。
定级流程
“确定定级对象——>初步确定等级——>专家评审——>主管部门审核——>公安机关备案审查——>最终确定等级” 系统必须经过这种线性的定级流程,系统定级必须经过专家评审和主管部门审核,才能到公安机关备案。
划重点
标准文件中说明如下:安全保护等级初步确定为第二级及以上的等级保护对象,其网络运营者依据本标准组织进行专家评审、主管部门核准和备案审核,最终确定其安全保护等级。 注:安全保护等级初步确定为第一级的等级保护对象,其网络运营者可依据本标准自行确定最终安全保护等级,可不进行专家评审、主管部门核准和备案审核。
定级标准
在《网络安全等级保护定级指南(GB/T22240-2020)》标准中也给出了定级标准,是一个多维度矩阵决定的具体标准,如下图:
| 项目 | 等保1.0 | 等保2.0 |
|---|---|---|
| 名称 | 信息(系统)安全等级保护 | 网络安全等级保护 |
| 顶层规范性文件 | 计算机信息系统安全保护条例(行政法规) | 网络安全法(法律) |
| 核心体系文件 | 信息安全等级保护管理办法(部门规范性文件) | 网络安全等级保护条例(征求意见)(行政法规) |
| 配套标准 | 以GB/T 22239-2008、GB/T 28448-2012等为核心的信息系统安全等级保护标准及其他配套标准 | 以修订GB/T 22239、28448等为核心的网络安全等级保护标准(俗称等保2.0标准)及其它配套标准 |
| 流程 | 五个规定动作:定级、备案、建设整改、等级测评和监督检查 | 除五个规定动作外,风险评估、安全监测、通报预警、事件调查、应急演练、灾难备份、自主可控、供应链安全、效果评价、综治考核等重点措施纳入 |
| 定级依据 | 信息安全等级保护管理办法 第十条规定,《信息系统安全等级保护定级指南》配套使用 | 网络安全等级保护条例(征求意见稿)第二条中定义修订GB/T 22240作为进一步细化 |
| 定级对象 | 信息安全等级保护工作直接作用的具体的信息和信息系统 | 网络安全等级保护工作的作用对象,主要包括基础信息网络、工业控制系统、云计算平台、物联网、使用移动互联技术的网络、其他网络以及大数据等。 |
| 定级对象基本特征 | 1)具有唯一确定的安全责任单位2)具有信息系统的基本要求3)承载单一或相对独立的业务应用 | 1)具有确定的主要安全责任主体;2)承载相对独立的业务应用;3)包含相互关联的多个资源。 |
| 定级特征 之外要求 | 无 | 详细规定了:基础信息网络、 工业控制系统、云计算平台、物联网、采用移动互联技术的网络和大数据必须遵循的其他要求 |
| 特定定级对象说明 | 无 | 对于基础信息网络、云计算平台、大数据平台等支撑类网络,原则上应不低于其承载的等级保护对象的安全保护等级大数据安全保护等级不低于第三级 |
| 关基要求 | 无 | 原则上不低于第三级 |
| 定级原则 | 自主定级、自主保 护、监督指导 | 明确等级、增强保护、常态监督 |
| 备案对象与时限要求 | 二级以上系统,在安全保护等级确定后或新建系统投入使用30日内 | 第二级以上网络运营者应当在网络的安全保护等级确定后10个工作日内 |
| 定级流程 | 直接根据定级要素与安全等级关系定级 | 确定定级对象→初步确定等级→专家评审→主管部门审核→公安机关备案审查 |