旗云天下(图)-五级等级保护要求-五级等级保护

等级保护和风险评估的区别？

等级保护和风险评估的不同：

①等级保护是指导我国信息安全保障体系建设的一项基础管理制度，五级等级保护测评价格，而风险评估、系统测评则是在等级保护制度下，对信息及信息系统安全性进行评价的两种特定的、有所区分但又有所联系的不同的研究、分析方法。从这个意义上来讲，等级保护要高于风险评估和系统测评。

②等级保护的前提是对系统定级，五级等级保护要求，系统定级根据系统信息的性、完整性、可用性等三大性来确定，即是明确各种信息类型-确定每种信息类型的安全类别-确定系统的安全类别三个步骤进行系统终的定级。等级保护中的系统分类分级的思想和风险评估中对信息资产的重要性分级基本一致，不同的是：等级保护的级别是从系统的业务需求或CIA特性出发，定义系统应具备的安全保障业务等级，五级等级保护流程，而风险评估中终风险的等级则是综合考虑了信息的重要性、系统现有安全控制措施的有效性及运行现状后的综合评估结果，也就是说，在风险评估中，CIA价值高的信息资产不一定风险等级就高。

③等级保护其实就是帮助用户分析、评定信息系统的等级，以便在后期的工作中根据不同的等级进行不同级别的安全防护，而风险评估则是帮助用户了解目前的安全现状，以便在后期进行整体的安全规划与建设。我们可以用风险评估这种手段检查等保的落实和执行情况，五级等级保护，将风险评估的结果作为实施等级保护等级安全建设的出发点和参考。

等级保护2.0安全通用技术要求有哪些特点？

等保2.0安全通用要求在技术要求方面，“从面到点”提出安全要求，“安全物理环境”主要对机房设施提出要求，”安全通信网络”和“安全区域边界”主要对网络整体提出要求，”安全计算环境”主要对构成节点提出要求对数据完整性和数据备份***提出要求。

 等保2.0安全通用要求在管理要求方面，“从元素到活动”提出安全要求，“安全管理制度”、“安全管理机构”及“安全管理人员”主要提出了管理不可缺少的制度、机构和人员三要素，“安全建设管理”及“安全运维管理”主要提出了建设过程和运维过程的安全活动管理要求。

如何选择等级保护备案所在地？

等级保护的主体单位为信息系统的运营、使用单位。备案主体一般可以理解为，出现网络安全事件后，责任单位是谁，谁就是备案主体。

要注意让承建单位或运维单位成为备案主体的错误方式。大部分情况下，在单位所在地属地（县级及以上）网安进行定级备案。如运维所在地和注册地不一致，一般以运维所在地备案。

当然也有一些特殊行业的要求，比如一些涉及到***安全的行业，比如互联网***系统、***系统需要属地化管理，这些系统需要在注册地办理定级备案手续，以满足本地的监管要求。