等級(jí)保護(hù)指對(duì)國(guó)家重要信息�����、法人和其他組織及公民的專(zhuān)有信息以及公開(kāi)信息和存儲(chǔ)、傳輸���、處理這些信息的信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù)�����,對(duì)信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級(jí)管理�,對(duì)信息系統(tǒng)中發(fā)生的信息安全事件分等級(jí)響應(yīng)�、處置���。
一���、什么是“三級(jí)等保”
國(guó)家等級(jí)保護(hù)認(rèn)證是中國(guó)權(quán)威的信息產(chǎn)品安全等級(jí)資格認(rèn)證�����,由公安機(jī)關(guān)依據(jù)國(guó)家信息安全保護(hù)條例及相關(guān)制度規(guī)定�,按照管理規(guī)范和技術(shù)標(biāo)準(zhǔn),對(duì)各機(jī)構(gòu)的信息系統(tǒng)安全等級(jí)保護(hù)狀況進(jìn)行認(rèn)可及評(píng)定����。
其中三級(jí)等保是國(guó)家對(duì)非銀行機(jī)構(gòu)的最高級(jí)認(rèn)證���,屬于“監(jiān)管級(jí)別”,由國(guó)家信息安全監(jiān)管部門(mén)進(jìn)行監(jiān)督����、檢查,認(rèn)證測(cè)評(píng)內(nèi)容分別涵蓋5個(gè)等級(jí)保護(hù)安全技術(shù)要求和5個(gè)安全管理要求���,包含信息保護(hù)�、安全審計(jì)�����、通信保密等近300項(xiàng)要求����,共涉及測(cè)評(píng)分類(lèi)73類(lèi),要求十分嚴(yán)格���,這也是目前網(wǎng)貸行業(yè)獲得該證書(shū)較少的重要原因之一�����。
打開(kāi)網(wǎng)易新聞 查看精彩圖片
等保三級(jí)
二�、通過(guò)信息系統(tǒng)安全“三級(jí)等保”認(rèn)證有什么作用�����?
通過(guò)信息系統(tǒng)安全“三級(jí)等?!闭J(rèn)證,用戶信息安全將得到有效保護(hù)�,其主要體現(xiàn)在以下兩點(diǎn):
1.能在統(tǒng)一安全策略下,防護(hù)系統(tǒng)免受來(lái)自外部有組織的團(tuán)體發(fā)起的惡意攻擊及其他相當(dāng)危害程度的威脅所造成的主要資源損害���,能夠發(fā)現(xiàn)安全漏洞和安全事件��,在系統(tǒng)遭到損害后,能較快恢復(fù)絕大部分功能���。
2.如平臺(tái)發(fā)生安全事故�����,有足夠的應(yīng)對(duì)能力快速恢復(fù)功能���,從而保護(hù)出借人與借款人的信息安全。
三、企業(yè)過(guò)三級(jí)等保認(rèn)證有多嚴(yán)格����?
2016年8月,《網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)業(yè)務(wù)活動(dòng)管理暫行辦法》的發(fā)布����,讓開(kāi)展信息系統(tǒng)定級(jí)備案和等級(jí)測(cè)試等保三級(jí),成為互金平臺(tái)合規(guī)的門(mén)檻之一����。三級(jí)等保認(rèn)證是地市級(jí)以上國(guó)家機(jī)關(guān)、重要企事業(yè)單位需要達(dá)成的認(rèn)證����,在金融行業(yè)中,可以看作是除了銀行機(jī)構(gòu)以外最高級(jí)別的信息安全等級(jí)保護(hù)���。
這些技術(shù)規(guī)范從技術(shù)要求(物理安全���、網(wǎng)絡(luò)安全、主機(jī)安全�、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù))及管理要求(安全管理制度�、安全管理機(jī)構(gòu)�����、人員安全管理�、系統(tǒng)建設(shè)管理�、系統(tǒng)運(yùn)維管理)展開(kāi)。
在物理安全層面上����,平臺(tái)的機(jī)房除了有最基本的安全控制之外,還應(yīng)具備防火�����、防潮甚至電磁防護(hù)能力等�����,同時(shí)具備災(zāi)后數(shù)據(jù)恢復(fù)能力���,想要具備這些條件,平臺(tái)需要付出的人力及資金成本是很大的����,有些體量比較小的平臺(tái)完全沒(méi)有實(shí)力達(dá)成這些要求����。
三級(jí)等保認(rèn)證最嚴(yán)的地方還是在技術(shù)層面�����,主要體現(xiàn)在系統(tǒng)安全管理和惡意代碼防范上等保三級(jí)���,簡(jiǎn)單可以理解為當(dāng)有黑客對(duì)平臺(tái)進(jìn)行攻擊時(shí)����,平臺(tái)應(yīng)該具備一定的防范能力���。
要取得三級(jí)等保的具體程序包括定級(jí)��、備案��、安全建設(shè)和整改��、信息安全等級(jí)測(cè)評(píng)���、信息安全檢查共五個(gè)階段。在取得三級(jí)等保認(rèn)證后�,平臺(tái)需要按照《網(wǎng)絡(luò)信息中介機(jī)構(gòu)業(yè)務(wù)活動(dòng)管理辦法》中的規(guī)定�����,具有完善的防火墻��、入侵檢測(cè)��、數(shù)據(jù)加密以及災(zāi)難恢復(fù)等網(wǎng)絡(luò)安全設(shè)施和管理制度��。同時(shí)��,已取得認(rèn)證的企業(yè)還需要每年年檢�����,并接受相關(guān)部門(mén)的不定期抽查����。
【拓展閱讀】等保三級(jí)和二級(jí)的區(qū)別
區(qū)別一�、評(píng)定要求不一樣
二級(jí)與三級(jí)的評(píng)定是根據(jù)系統(tǒng)一旦遭到破壞,對(duì)公眾以及國(guó)家的安全造成危害的大小來(lái)確定的�。所以企業(yè)辦理等保測(cè)評(píng)之后才能明確自己需要過(guò)等保幾級(jí)。
區(qū)別二�、測(cè)評(píng)內(nèi)容不一樣
二級(jí)評(píng)測(cè)的工作量比三級(jí)的工作量要少的多����。二級(jí)等保測(cè)評(píng)內(nèi)容���、要求相對(duì)少,所以沒(méi)有那么多要求標(biāo)準(zhǔn)��,相應(yīng)的測(cè)評(píng)項(xiàng)目也比較少�,總共有135項(xiàng);三級(jí)等保要求更高��,設(shè)備要求更嚴(yán)格�����。
區(qū)別三����、測(cè)評(píng)時(shí)間要求不一樣
一般二級(jí)等保是需要每?jī)赡赀M(jìn)行一次等保測(cè)評(píng),特殊行業(yè)則必須按照周期來(lái)進(jìn)行測(cè)評(píng)�����。而三級(jí)信息系統(tǒng)要求每年至少開(kāi)展一次測(cè)評(píng)���。
