信息系统安全等级保护的核心是对信息系统分等级、按标准进行建设、管理和监督。GB/T 25058-2019 信息安全技术 网络安全等级保护实施指南(以下称“实施指南”)中明确等级保护实施的基本原则:
● 自主保护原则
等级保护对象运营、使用单位及其主管部门自主确定等级保护对象的安全保护等级,自主实施安全保护。
● 重点保护原则
对等级保护对象根据其重要程度、业务特点,划分成不同安全保护等级的等级保护对象,实现不同强度安全保护,集中资源重点保护涉及核心业务或关键信息资产的等级保护对象。
● 同步建设原则
等级保护对象在新建、改建、扩建时应同步规划和设计安全方案,投入一定的资金建设网络安全设施,保障网络安全与信息化相适应。
● 动态调整原则
跟踪等级保护对象的变化情况,调整安全保护措施。定级对象的应用类型、范围等条件的变化及其他原图,安全保护等级变更的,需重新定级,根据安全保护基本,重新实施安全保护。
等级保护对象网络运营者实施等级保护的基本流程:
安全建设整改工作分五步进行:
● 落实安全建设整改工作部门,建设整改工作规划,进行总体部署;
● 确定网络安全建设需求并论证;
● 确定安全防护策略,制定网络安全建设整改方案(安全建设方案经专家评审论证,三级以上报公安机关审核);
● 根据网络安全建设整改方案,实施安全建设工程;
● 开展安全自查和等级测评,及时发现安全风险及安全问题,进一步开展整改。
Copyright © 启明星辰 版权所有 京ICP备05032414号 京公网安备11010802024551号