等級保護指對國家重要信息�、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸�����、處理這些信息的信息系統(tǒng)分等級實行安全保護�����,對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級管理��,對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)、處置���。
一��、什么是“三級等?���!?/p>
國家等級保護認證是中國權(quán)威的信息產(chǎn)品安全等級資格認證�����,由公安機關(guān)依據(jù)國家信息安全保護條例及相關(guān)制度規(guī)定���,按照管理規(guī)范和技術(shù)標(biāo)準(zhǔn)����,對各機構(gòu)的信息系統(tǒng)安全等級保護狀況進行認可及評定��。
其中三級等保是國家對非銀行機構(gòu)的最高級認證���,屬于“監(jiān)管級別”���,由國家信息安全監(jiān)管部門進行監(jiān)督�、檢查���,認證測評內(nèi)容分別涵蓋5個等級保護安全技術(shù)要求和5個安全管理要求�����,包含信息保護�、安全審計�、通信保密等近300項要求,共涉及測評分類73類���,要求十分嚴(yán)格�����,這也是目前網(wǎng)貸行業(yè)獲得該證書較少的重要原因之一。
打開網(wǎng)易新聞 查看精彩圖片
等保三級
二�����、通過信息系統(tǒng)安全“三級等?���!闭J證有什么作用�?
通過信息系統(tǒng)安全“三級等?����!闭J證�,用戶信息安全將得到有效保護,其主要體現(xiàn)在以下兩點:
1.能在統(tǒng)一安全策略下���,防護系統(tǒng)免受來自外部有組織的團體發(fā)起的惡意攻擊及其他相當(dāng)危害程度的威脅所造成的主要資源損害�����,能夠發(fā)現(xiàn)安全漏洞和安全事件�,在系統(tǒng)遭到損害后���,能較快恢復(fù)絕大部分功能�。
2.如平臺發(fā)生安全事故�,有足夠的應(yīng)對能力快速恢復(fù)功能,從而保護出借人與借款人的信息安全���。
三����、企業(yè)過三級等保認證有多嚴(yán)格?
2016年8月�����,《網(wǎng)絡(luò)借貸信息中介機構(gòu)業(yè)務(wù)活動管理暫行辦法》的發(fā)布����,讓開展信息系統(tǒng)定級備案和等級測試等保三級,成為互金平臺合規(guī)的門檻之一�。三級等保認證是地市級以上國家機關(guān)、重要企事業(yè)單位需要達成的認證��,在金融行業(yè)中�����,可以看作是除了銀行機構(gòu)以外最高級別的信息安全等級保護�����。
這些技術(shù)規(guī)范從技術(shù)要求(物理安全�����、網(wǎng)絡(luò)安全�、主機安全、應(yīng)用安全���、數(shù)據(jù)安全及備份恢復(fù))及管理要求(安全管理制度��、安全管理機構(gòu)��、人員安全管理���、系統(tǒng)建設(shè)管理、系統(tǒng)運維管理)展開����。
在物理安全層面上,平臺的機房除了有最基本的安全控制之外��,還應(yīng)具備防火��、防潮甚至電磁防護能力等�����,同時具備災(zāi)后數(shù)據(jù)恢復(fù)能力����,想要具備這些條件��,平臺需要付出的人力及資金成本是很大的��,有些體量比較小的平臺完全沒有實力達成這些要求��。
三級等保認證最嚴(yán)的地方還是在技術(shù)層面���,主要體現(xiàn)在系統(tǒng)安全管理和惡意代碼防范上等保三級,簡單可以理解為當(dāng)有黑客對平臺進行攻擊時����,平臺應(yīng)該具備一定的防范能力�。
要取得三級等保的具體程序包括定級、備案����、安全建設(shè)和整改、信息安全等級測評�����、信息安全檢查共五個階段�����。在取得三級等保認證后����,平臺需要按照《網(wǎng)絡(luò)信息中介機構(gòu)業(yè)務(wù)活動管理辦法》中的規(guī)定,具有完善的防火墻���、入侵檢測���、數(shù)據(jù)加密以及災(zāi)難恢復(fù)等網(wǎng)絡(luò)安全設(shè)施和管理制度。同時��,已取得認證的企業(yè)還需要每年年檢�����,并接受相關(guān)部門的不定期抽查��。
【拓展閱讀】等保三級和二級的區(qū)別
區(qū)別一�、評定要求不一樣
二級與三級的評定是根據(jù)系統(tǒng)一旦遭到破壞,對公眾以及國家的安全造成危害的大小來確定的���。所以企業(yè)辦理等保測評之后才能明確自己需要過等保幾級�����。
區(qū)別二�����、測評內(nèi)容不一樣
二級評測的工作量比三級的工作量要少的多���。二級等保測評內(nèi)容����、要求相對少����,所以沒有那么多要求標(biāo)準(zhǔn),相應(yīng)的測評項目也比較少�����,總共有135項����;三級等保要求更高,設(shè)備要求更嚴(yán)格����。
區(qū)別三�����、測評時間要求不一樣
一般二級等保是需要每兩年進行一次等保測評,特殊行業(yè)則必須按照周期來進行測評��。而三級信息系統(tǒng)要求每年至少開展一次測評���。
