第一级 自主保护级:无需备案,对测评周期无要求此类信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成不损害 国一般损害,家安全、社会秩序和公共利益。
第二级 指导保护级:公安部门备案,建议两年测评一次此类信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成严重损害,会对社会秩序、公共利益造成 一般损害,不损害 国家安全。
第三级 监督保护级:公安部门备案,要求每年测评一次此类信息系统受到破坏后,会对国家安全、社会秩序造成 损害,对公共利益造成 严重损害,对公民、法人和其他组织的合法权益造成 特别严重的损害。
第四级 强制保护级:此类信息系统受到破坏后,会对国家安全造成 严重损害,对社会秩序、公共利益造成 特别严重损害。
第五级 专控保护级:公安部门备案,依据特殊安全需求进行此类信息系统受到破坏后会对国家安全造成 特别严重损害。
(1)降低信息安全风险,提高信息系统的安全防护能力;
开展等保的最重要原因是为了通过等级保护测评工作,发现单位系统内、外部存在的安全风险和脆弱性,通过整改之后,提高信息系统的信息安全防护能力,降低系统被各种攻击的风险。
梳理出了不同等级的系统后,我们就要对不同系统进行不同等级的安全防护建设,保证重要的信息系统在有攻击的情况下能够很好地抵御攻击或者被攻击后能够快速的恢复应用不造成重大损失或影响。
(2)满足国家相关法律法规和制度的要求;
等级保护是我国关于信息安全的基本政策2007年6月发布的关于印发《信息安全等级保护管理办法》的通知(公通字[2007143号)规定了实施信息安全等级保护制度的原则、内容、职责分工、基本要求和实施计划,部署了实施信息安全等级保护工作的操作办法。
2016年11月7日第十二届全国人民代表大会常务委员会第二十四次会议通过《中华人民共和国网络安全法》,网络安全法第二十一条明确规定:国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
简单总结下就是国家法律法规、相关政策制度要求我们去开展等级保护工作,不做就不合规,就违法。
(3)满足相关主管单位和行业要求;
很多行业主管单位要求行业客户开展等级保护工作,目前已经下发行业要求文件的有金融、电力、广电、医疗、教育等行业,还有一些主管单位发过相关文件或通知要求去做。另外信息安全主管单位要求我们去开展等级保护工作,主要有:公安、网信办、经信委、通管局等行业主管单位。
所以不做等保的话,没法向相关主管单位和行业领导们交待。
(4)合理地规避或降低风险。
每年都会出现一些的信息安全事件,一旦发生比较大的安全事件,主管单位就要去现场调查,首先就会看我们到底有没开展等级保护工作,那么如果你没有,最直接的一个结论就是你的信息安全工作没有开展好,没有开展到位,国家最基本的信息安全等级保护工作都没做,你说你买了很多防火墙,很多安全设备,都不如你实实在在拿出备案证明,拿出测评报告说服力强。
出了问题难免就会被通报批评,被勒令下线整改,那么开展了等级保护工作和没有开展等级保护工作被通报的内容就显然不同了。最简单的例子:一个主观上重视安全工作但是因为技术还不够好而被攻击造成破坏和一个主观上都不重视安全工作被攻击造成破坏的情况,孰轻孰重,一目了然。怎么叫主观上重视呢?等保工作有没有开展就是衡量的一个重要标准,因为等级保护是国家基本信息安全制度要求。