1994年,國務院發布《中華人民共和國計算機信息系統安全保護條例》(147號令),規定計算機信息系統實行安全等級保護。
2016年《中華人民共和國網絡安全法》頒布,網絡安全法明確規定“國家實行網絡安全等級保護制度”。
2019年5月13日,網絡安全等級保護制度2.0國家標準發布。
2019年12月1日起正式實施,金融、電力、教育、醫療等行業對企業系統明確要求通過網絡安全等級保護。
網絡安全等級保護制度經過多年的推進和加強,已經形成一套完善的標準及政策體系。
許多企業對于等級保護還有很多疑問。
北京華清信安科技有限公司是一家擁有豐富等級保護服務經驗的新一代智能安全運營商,了等級保護相關的常見問題,幫助企業更好的了解等級保護。
01 企業必須通過等級保護嗎?從法規角度,《中華人民共和國網絡安全法》第二十一條明確規定:國家實行網絡安全等級保護制度。
網絡運營者應當按照網絡安全等級保護制度的要求,履行下列安全保護義務,保障網絡免受干擾、破壞或者未經授權的訪問,防止網絡數據泄露或者被竊取、篡改。
簡單來說,是國家法律法規、相關政策制度要求我們去開展等級保護工作,不做就不合規,就違法。
從網絡安全角度,企業可以合理地規避風險。
企業通過等級保護,是對企業信息系統安全認證,幫助企業建立可靠、合規的網絡安全環境。
在發生重大安全事件時,主管單位會查看企業是否主觀上重視信息安全,即企業是否開展等級保護工作。
02 怎么確定企業系統要做幾級?全國的信息系統(包括網絡)按照重要性和受破壞后的危害性分成五個安全保護等級(從級到第五級逐級增高)。
系統定級是根據受侵害的客體以及對客體侵害的程度來確定的,是以事實為根據,得到網安部門認可,大部分企業系統屬于第二級或第三級。
其中二級等保和三級等保安全建設的區別可以點擊查看文章《等級保護丨網絡安全等級保護的建設要求和解決方案》。
03 等級保護的具體步驟?根據信息系統等級保護相關標準,等級保護工作總共分五個階段,分別為:定級、備案、安全建設、測評、監督檢查。
04 等級保護完成可以取得哪些證明?等級保護工作完成后可獲得《信息系統安全等級保護備案證明》和《網絡安全等級保護 XX系統 等級測評報告》。
等級保護2.0測評終分為優、良、中、差四種。
05 等級保護多久做一次?根據《網絡安全等級保護條例》(征求意見稿)第二十三條規定:第三級以上網絡的運營者應當每年開展一次網絡安全等級測評。
二級信息系統建議每兩年開展一次測評。
06 系統在云上,還需要做等保嗎?需要。
業務上云有多種情況,如在公有云、私有云、專有云和混合云不同屬性的云上,并采用IaaS、PaaS、SaaS、IDC托管等服務,安全責任邊界發生了變化,但網絡運營者的安全責任不會轉移。
根據“誰運營誰負責、誰使用誰負責、誰主管誰負責”的原則,應承擔網絡安全責任進行等級保護工作。
07 等級保護需要購買很多安全產品嗎?不一定。
具體需要根據企業系統實際情況采購安全產品,盲目采購安全產品會造成不必要的浪費。
華清信安在整改建設過程中可以根據企業對測評結果需求和現有安全防護措施的實際效果是否能保證業務抵抗風險,按需求開展安全建設工作。
08 等保與分保有什么區別?指等級保護與分級保護,主要不同在監管部門、適用對象、分類等級等方面。
監管部門不一樣,等級保護由公安部門監管,分級保護由國家保密局監管。
適用對象不一樣,等級保護適用非涉密系統,分級保護適用于涉及國家密秘系統。
等級分類不同,等級保護分五個級別:級(自主保護)、第二級(指導保護)、第三級(監督保護)、第四級(強制保護)、第五級(專控保護);分級保護分3個級別:秘密級、機密級、絕密級。
09 不做等級保護會有什么后果?在《網絡安全法》第二十一條規定:國家實行網絡安全等級保護制度。
屬于法律、行政法規規定的其他義務。
不做等保就等于違法。
國內已有多起因為不做等保遭受處罰的事件。
部分行業對等保有明確規定和處罰。
2018年11月26日,工業和信息化部網絡安全管理局對7家電信互聯網企業落實《網絡安全法》《通信網絡安全防護辦法》《電信和互聯網用戶個人信息保護規定》等法律法規情況進行了實地檢查,針對檢查發現的問題,責令企業進行整改,并進行了公示。
教育部2020年5月6日發布的通知:7月1日起,將對未完成備案的教育App提供者予以通報,限時1個月進行整改。
7月31日前未完成整改的,將撤銷教育App備案。
10 怎樣開展等級保護工作?選擇一個合適等級保護服務商。
華清信安是的新一代智能安全運營商,可以提供全流程的等級保護服務。
華清信安等級保護解決方案,為政企、金融、醫療、教育、互聯網等在內的近千家企業提供全流程的等級保護服務。
服務目標服務流程服務優勢全流程服務安全廠商+等保咨詢服務商優勢一站式實現等保五個環節全流程服務項目實施經驗豐富經驗和優質資源短的交付周期好的測評結果項目成功交付項目團隊DJJS能力認證等保測評師證書(CIIP-E)CISAW安全保障證書售后運行保障持續跟蹤服務1年協助年度安全檢查定期漏掃/滲透測試應急響應服務
