网站等保级别,即网络安全等级保护制度中的等级划分,是根据信息系统在国家安全、经济建设、社会生活中的重要程度,以及信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素来确定的。目前,网络安全等级保护分为五个等级,从低到高依次为:
第一级(自主保护级):
第二级(指导保护级):
第三级(监督保护级):
适用于涉及国家安全、社会秩序和公共利益的重要信息系统,例如地市级以上国家机关、企业、事业单位内部重要的信息系统。
信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
要求备案(可以进行专家评审)、测评(每年一次),并接受国家信息安全监管部门的监督、检查。
第四级(强制保护级):
适用于国家重要领域、重要部门中的特别重要系统以及核心系统,例如电力、电信、广电、铁路、民航、银行、税务等重要部门的生产、调度、指挥等涉及国家安全、国计民生的核心系统。
信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
必须进行专家评审、备案、测评(每半年一次),并接受国家信息安全监管部门的强制监督、检查。
第五级(专控保护级):
适用于国家重要领域、重要部门中的极端重要系统。
信息系统受到破坏后,会对国家安全造成特别严重损害。
需要经过五个阶段:系统定级、备案、安全建设和整改、测评、监督检查。
在评估过程中,评估机构会从物理安全、网络安全、主机安全、人员管理、运维管理等多个维度对网站进行全方位的评估,总共包括73个大类、313项的测评。
每个等级都有相应的安全保护要求,包括物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等十个方面。这种划分有助于明确不同等级信息系统的安全保护要求,指导信息系统运营单位根据自身信息系统的实际情况,选择合适的安全保护措施,提高信息系统的安全防护能力。同时,也为监管部门提供了依据,便于对信息系统进行安全检查和监管,确保信息安全工作的有序开展。
