GB/T28828-2012这个标准其实很简单,它是中国国家标准之一,主要用于规范计算机信息系统安全等级保护的基本要求。其实,这个标准复杂在它涉及到的安全层面非常多。
先说最重要的,这个标准将信息系统的安全等级分为五个等级,从低到高分别是:用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级。比如,去年我们跑的那个项目,大概3000量级,就属于安全标记保护级。
另外一点,这个标准还强调了安全责任,要求信息系统运营单位必须建立健全的安全管理制度,落实安全责任制。还有个细节挺关键的,就是它规定了信息系统安全等级保护工作的组织实施流程,包括安全评估、安全整改、安全检查等环节。
我一开始也以为这个标准只是针对政府机关和大型企业,后来发现不对,其实很多中小企业在建设信息系统时,也需要参照这个标准来确保安全。等等,还有个事,这个标准自2012年发布以来,已经经过了多次修订,现在最新的版本是2017年发布的。
最后提醒一个容易踩的坑,就是不要忽视标准中的细节要求,比如安全管理制度和安全责任制,这些都是信息系统安全等级保护工作的重要组成部分。我觉得值得试试,对照标准,看看自己的信息系统是否达到了相应的安全等级。
