“国家等级保护认证”什么类型企业需要办理

2012年，CSDN由于该网站没有实施国家信息安全级别保护系统，造成了大量用户信息泄露的严重后果。根据《中华人民共和国计算机信息系统安全保护条例》，北京市公安局CSDN网站运营商给予行政警告处罚。由此可见，进行等级保护是公司义不容辞的信息安全责任。

2.各行业或监管机构开展信息安全等级保护的具体工作

随着国家有关部门不断颁布等级保护标准，各行业或监管机构迅速发布文件，响应并实施行业信息系统安全等级保护。

比如2011年卫生部发布的《卫生行业信息安全等级保护指导意见》(卫生办发[2011]85号)，明确了卫生行业信息系统的实施情况“分级备案、建设与整改、等级评价”工作。2012年，中国人民银行制定了《金融业信息安全等级保护与评价服务安全指导》、《金融业信息系统信息安全等级保护与评价指南》和《金融业信息系统信息安全等级保护实施指南》。

2013年制定《征信机构管理办法》(中国人民银行令[2013]号。1)，明确和规范金融企业开展的信息系统安全等级保护评价工作。

2014年，教育部发布《教育部关于加强教育行业网络和信息安全的指导意见》(教学技术[2014]号)“根据教育行业相关规范，各单位信息系统应准确定级备案”，“按照国际和教育行业相关标准和标准进行等级评定”。

此外，财政部、人力资源和社会保障、交通运输业、电力行业等监管机构或行业发布相应文件，明确落实信息系统安全等级保护，建立健全信息安全管理体系，落实安全保护技术措施，全面落实信息安全等级保护体系。

3.等级保护评估的工作内容

为了满足各级安全防护能力的要求，提出了物理（机房）、网络、主机、应用、数据安全、安全管理体系、安全管理机构、人员、系统建设、系统运行维护等技术标准和管理要求。

信息系统安全级别保护评估(“等级保护评估”)包含系统定级，系统备案，安全建设整改，等级保护评估，定期安全检查五个阶段。

等级保护评估是指信息系统的运行。用户委托具有等级保护评估资质的评估机构对已建成的等级信息系统进行等级保护评估过程。评估机构在评估过程中选择访谈、检查和检测三种评估方法，分为人员访谈、文件审查和审查、现场观察和工具检测五个小类，以安全信息系统

对信息系统是否符合相应安全保护等级要求进行评估和风险评估，形成信息安全等级保护评估报告。

公安部门和其他安全监督部门在进行信息安全等级保护监督管理时，系统运行，用户必须提交具有等级评价资格的机构出具的等级评价报告。

4.哪些行业应该进行等级保护评估？

政府部门：各大部委、省级政府部门、地级市政府部门、事业单位等；

金融业：金融监管机构、银行、证券、保险公司等；

电信行业：各大通信运营商、省级电信公司、市级电信公司、各类电信服务商等；

能源工业：供电公司、石油公司、烟草公司；

企业单位：大中型企业、中央企业、上市企业等；

其有信息系统分级需求的其他行业和单位。

一些公司根据上级监管单位的要求和政策的强制性要求进行等级保护评估。例如，中国人民银行要求信用调查机构进行等级保护评估，因此大多数相关机构将委托经中国人民银行和国家信息安全管理机构批准的认证机构CFCA(中国金融认证中心)进行评估。CFCA它是国家权威的安全验证机构，是国家重要的金融信息安全基础设施之一。它汇集了高、优秀、优秀的人才，拥有优秀的管理团队和工作扎实、充满热情和活力的员工。CFCA2013年获得公安部颁发的《等级保护评估机构能力评估证书》、《等级保护评估机构推荐证书》，CFCA成立的信息安全实验室拥有40多名具有信息安全评估师资格的工程师。大多数工程师在等级保护评估领域有五年以上的工作经验，是中国最权威的评估机构之一。

5.组织中哪些信息系统需要实施等级保护？

电信、广播电视行业公共通信网络、电视广播传输网络等基本网络信息、运营公共互联网信息服务单元、网络接入服务单元、数据中心等单位的重要信息系统。

铁路、银行、海关、税收、民航、电力、证券、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商业、水利、国土资源、能源、交通、文化、教育、统计、工商管理、邮政等。

市(地)级以上政府机关的重要网站和办公信息系统。

涉及国家秘密的信息系统。

6.等级保护评估的好处

对于企业来说，信息安全等级保护评价的实施可以有效提高单位信息和信息系统安全建设的整体水平，有效管理公司信息安全建设成本；有利于明确国家、法人等组织和公民的信息安全责任，加强公司的信息安全管理。

对于信息系统，信息系统的安全性可以通过等级保护评估及时发现并制定整改计划。当信息系统完全满足安全保护能力要求时，信息系统基本可以做到这一点“进不来，拿不走，改不了，看不懂，逃不掉，但审计，打不垮”。

具体包括：

·确保基础设施的安全，确保网络周边环境和物理特性造成的网络设备和路线的持续使用。

·确保数据连接的安全，确保数据传输的安全，特别是网络边界和外部接入的安全。

·确保计算环境的安全，确保操作系统、数据库、服务器的安全

及相关商品的安全。

·确保应用系统的安全，确保网络信息在应用层的保密性、完整性和信息源的真实保护和识别，避免和抵制各种安全威胁和攻击手段，在一定程度上填补和优化当前操作系统和网络信息系统的安全风险。

·确保数据安全和备份恢复，确保数据完整性、数据保密性、备份和恢复等。

·安全管理体系的保障。建立可行的安全管理体系，按照国家相关信息安全等级保护标准和规范要求，加强安全管理机制。

“国家级保护认证”它是中国最权威的信息产品安全级别认证。公安机关应当按照《国家信息安全保护条例》和有关制度的规定，按照管理规范和技术标准，确认和评价各机构信息系统的安全级别保护状况。