《中华人民共和国网络安全法》于2017年6月1日起正式施行,《网络安全法》进一步明确了信息化发展与网络安全并重的原则,指出“国家实行网络安全等级保护制度”,“对关键信息基础设施在网络安全等级保护制度的基础上,实行重点保护”,并“保证安全技术措施同步规划、同步建设、同步使用”。其2.0版本也于2019年12月1日正式实施,除对原有标准要求进行了提升外,增加了对于云计算、移动互联、物联网、工业控制和大数据的安全扩展要求,至此等级保护核心系列标准基本修订完成,目前基于网络安全等级保护的安全建设已经成为系统运营使用单位重要的基础性工作。
等级保护是指对信息和信息载体按照重要性等级分级别进行保护的一种工作,也就是说,根据信息系统的安全需求和风险程度,将其划分为不同的安全等级,并采取相应的安全措施来保障其安全运行。等级保护的目的是为了防止信息系统遭受恶意攻击、破坏或泄露,造成国家安全、社会稳定、公民权益等方面的损害。
等级保护测评是指信息系统运营、使用单位委托具有等级保护测评资质的测评机构对其建设的已定级的信息系统进行等级保护测评过程,测评机构在测评过程中采用访谈、检查和测试三大类的测评方法,具体细分为人员访谈、文档审查、配置核查、现场观测和工具测试等五个小类,对信息系统进行安全检测和评估,判断受测系统的技术和管理级别与所定安全等级要求的符合程度,基于符合程度给出是否满足所定安全等级的结论,针对安全不符合项提出安全整改建议。