在网络安全等级保护2.0国家标准(等保2.0)中,信息安全等级保护分为五级,分别是第一级(自主保护级)、第二级(指导保护级)、第三级(监督保护级)、第四级(强制保护级)和第五级(专控保护级),一至五级等级逐级增高。
虽然等保分为五个级别,但实现项目落地的都是二、三和四级,最低的一级单位作为建议,也是可以自行备案,但是作用不大。最高的等保五级信息系统受到破坏后,会对国家安全造成特别严重损害,这类系统一般都涉及国家秘密,等级保护体系无法担此重任,所以也不会用。现阶段普遍需要第三方测评机构测评的是第二级和第三级。
那二级和三级又是如何确定的呢?
安全保护等级初步确定为第二级及以上的等级保护对象,其运营使用单位应当依据《网络安全等级保护定级指南》进行初步定级、专家评审、主管部门审批、公安机关备案审查,最终确定其安全保护等级。
等级保护对象的级别主要由两个定级要素决定:
(1)受侵害的客体;
(2)对客体的侵害程度。
定级对象的安全主要包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同,因此,安全保护等级也应由业务信息安全(S)和系统服务安全(A)两方面确定,根据业务信息的重要性和受到破坏后的危害性确定业务信息安全等级;根据系统服务的重要性和受到破坏后的危害性确定系统服务安全等级;由业务信息安全等级和系统服务安全等级的较高者确定定级对象的安全保护等级。
关于系统测评时间,在《信息安全等级保护管理办法》公通字[2007]43号中有明确规定,新建二级信息系统,应在系统投入运行后30日内,在该单位所在的区域网安进行备案,并提交相应的信息系统备案材料。已运营(运行)的二级信息系统,在确定等级后,应在30日内在该单位所在的区域网安进行备案,并提交相应的信息系统备案材料。三级信息系统明确规定每年测评一次,四级信息系统每半年测评一次,五级信息系统虽有要求但在实际工作中几乎很难遇到。
作为国家信息安全的基本制度,贯彻落实等级保护2.0是企业义不容辞的信息安全义务。根据《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)的有关规定,参照等级保护第二,三级的能力要求,针对数据备份与恢复有明确要求:
a) 应提供重要数据的本地数据备份与恢复功能;
b) 应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地;
c) 应提供重要数据处理系统的热冗余,保证系统的高可用性。
海境超备把数据恢复专有技术融入存储数据安全,所提供的数据保护方案,拥有专用备份存储架构和软硬协同原生架构,安全可靠,高性能设计,构建以数据为中心的存储内生安全能力。围绕数据的全生命周期,实现热数据全容灾、温数据热备份、冷数据温归档和全场景智能融合,保证客户业务不中断,数据不丢失,快速恢复业务,信息长期留存,帮助客户实现法规遵从下的关键数据高效备份,价值数据快速利用,节省数据保护投资。