等保测评 等保认证 信息安全等级保护管理办法
发布时间: 2019-05-01 12:55 点击:
等保测评 等保认证 信息安全等级保护管理办法
目前大多数网贷平台一般将外部网络技术安全认证置于平台首页底部,其余较为重要的认证则较多披露在网站资质证明板块。较为常见的几种认证为国家信息系统安全等级保护三级、ISO27001、企业信用评级证书、可信网站、互联网金融行业认证、SSL等。其中信息系统安全等级保护备案无论是在认证难度上、公信力上及效力方面,尤其是信息系统安全等保三级认证,绝对是非银机构中最重量级别的认证。
2007年7月24日,为加快推进信息安全等级保护,规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定了《信息安全等级保护管理办法》。
五个安全等级
根据《信息安全等级保护管理办法》,把信息系统的安全保护等级分为五级,等级越高,安全保护能力就越强。
公开信息显示,国家2001年实施的《计算机信息系统安全保护等级划分准则》中将安全等级划分为五个级别:
第一级为用户自主保护级,该级适用于普通内联网用户;
第二级为系统审计保护级,该级适用于通过内联网或国际网进行商务活动,需要保密的非重要单位;
第三级为安全标记保护级,该级适用于地方各级国家机关、金融机构、邮电通信、大型工商与信息技术企业、重点工程建设等单位;
第四级为结构化保护级,该级适用于中央级国家机关、广播电视部门、社会应急服务部门、尖端科技企业集团、国家重点科研机构和国防建设等部门;
第五级为访问验证保护级,该级适用于国防关键部门和依法需要对计算机信息系统实施特殊隔离的单位。
目前大多数互联网金融平台获得的以第二级认证为主,第三级作为国家对非银行金融机构的最高级认证,属于“监管级别”,即非银机构的最高级认证就是第三级别,由国家信息安全监管部门进行监督、检查,认证要求十分严格,在认证过程中进行了一系列测评包括物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复、系统建设管理、系统安全管理等多方面的安全评测。测评内容近300项要求,共涉及测评分类73类。成功通过认证的平台,在技术、管理、控制层面能达到国家指标,具备安全事件发现、应对的能力,以及信息系统受到攻击或破坏时的快速恢复﹑数据信息防泄露防偷的实力。这部分已通过国家三级等保安全测试的平台往往具有长远的运营考虑,在自身软硬件和信息系统建设有较大投入。
据中鸿认证咨询统计,截至2017年9月,运营平台1874家,其中通过信息系统安全等保三级备案认证的P2P网贷平台为143家。仅占在运营平台数量的7.6%