第三級(jí)信息安全等級(jí)保護(hù)
國(guó)家信息安全等級(jí)保護(hù)三級(jí)相關(guān)介紹。國(guó)家信息系統(tǒng)等級(jí)保護(hù)認(rèn)證是由公安機(jī)關(guān)依據(jù)國(guó)家信息安全保護(hù)條例及相關(guān)制度規(guī)定,按照管理規(guī)范和技術(shù)標(biāo)準(zhǔn),對(duì)各機(jī)構(gòu)的信息系統(tǒng)安全等級(jí)保護(hù)狀況進(jìn)行的評(píng)定。這是中國(guó)最權(quán)威的信息產(chǎn)品安全等級(jí)資格認(rèn)證。
對(duì)于互聯(lián)網(wǎng)平臺(tái)而言,信息系統(tǒng)安全可謂至關(guān)重要。等保三級(jí)作為互聯(lián)網(wǎng)保險(xiǎn)平臺(tái)在信息安全方面的王牌認(rèn)證,其認(rèn)證意味著用戶信息能夠得到更安全可靠的技術(shù)保障。
信息系統(tǒng)的安全保護(hù)等級(jí)分為五級(jí),等級(jí)越高,安全保護(hù)能力就越強(qiáng)。其中,等保三級(jí)認(rèn)證是地市級(jí)以上國(guó)家機(jī)關(guān)、重要企事業(yè)單位需要達(dá)成的認(rèn)證,具體到金融行業(yè)中,可以看作是除了銀行機(jī)構(gòu)以外最高級(jí)別的信息安全等級(jí)保護(hù)。換言之,第三級(jí)是國(guó)家對(duì)非銀行機(jī)構(gòu)的最高級(jí)別安全認(rèn)證,屬于“監(jiān)管級(jí)別”。
一方面,其信息安全防護(hù)能夠確保系統(tǒng)在運(yùn)作過程中不會(huì)發(fā)生數(shù)據(jù)泄露、盜取篡改等等惡劣問題,給平臺(tái)用戶營(yíng)造更加安全、穩(wěn)定的交易環(huán)境,提供更加放心的隱私保護(hù)。另一方面,其運(yùn)行安全防護(hù)能夠確保系統(tǒng)免受來自外部有組織的團(tuán)體發(fā)起的惡意攻擊及其他相當(dāng)危害程度的威脅所造成的主要資源損害,而一旦發(fā)生安全事故,系統(tǒng)也有足夠的應(yīng)對(duì)能力快速恢復(fù)功能,從而保護(hù)用戶的信息安全。
根據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》,取得等保三級(jí)的具體程序包括定級(jí)、備案、安全建設(shè)和整改、信息安全等級(jí)測(cè)評(píng)、信息安全檢查共五個(gè)階段。
其測(cè)評(píng)內(nèi)容涵蓋等級(jí)保護(hù)安全技術(shù)要求的5個(gè)層面(物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù))和安全管理要求的5個(gè)層面(安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理),主要包含信息保護(hù)、安全審計(jì)、通信保密等在內(nèi)的近300項(xiàng)要求,共涉及測(cè)評(píng)分類73類,要求十分嚴(yán)格。
這對(duì)平臺(tái)的技術(shù)和設(shè)備投入、平臺(tái)運(yùn)營(yíng)制度、技術(shù)人力等多方面的要求都極高。如在物理安全層面上,平臺(tái)的機(jī)房除了有最基本的安全控制之外,還應(yīng)具備防火、防潮甚至電磁防護(hù)能力等,同時(shí)具備災(zāi)后數(shù)據(jù)恢復(fù)能力,這考驗(yàn)了平臺(tái)的人力和資金實(shí)力。
另外,在取得三級(jí)等保認(rèn)證后,平臺(tái)還需要按照《網(wǎng)絡(luò)信息中介機(jī)構(gòu)業(yè)務(wù)活動(dòng)管理辦法》中的規(guī)定,具有完善的防火墻、入侵檢測(cè)、數(shù)據(jù)加密以及災(zāi)難恢復(fù)等網(wǎng)絡(luò)安全設(shè)施和管理制度。同時(shí),已取得認(rèn)證的企業(yè)還需要每年年檢,并接受相關(guān)部門的不定期抽查。