为什么要做等级保护—三个方面解读!
等级保护制度是我国在网络安全领域的基本制度、基本国策,是国家网络安全意志的体现。等保已经是企业负责人的义务与责任+等级保护制度已经提升到法律层面,双重要求之下不做等保等于违法!对于企事业单位,等保不是可选性而是必选项!
1. 法律法规要求
《网络安全法》明确规定信息系统运营、使用单位应当按照网络安全等级保护制度要求,履行安全保护义务,如果拒不履行,将会受到相应处罚。
第二十一条:国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或被窃取、篡改。
2. 行业要求
在金融、电力、广电、医疗、教育等行业,主管单位明确要求从业机构的信息系统(APP)要开展等级保护工作。
3. 企业系统安全的需求
信息系统运营、使用单位通过开展等级保护工作可以发现系统内部的安全隐患与不足之处,可通过安全整改提升系统的安全防护能力,降低被攻击的风险。
简单来说,《网络安全法》一直对网站、信息系统、APP有等级保护要求,中小型企业通常是行业要求才意识到问题。
怎么做等级保护?—流程及解决策略对比!
5个步骤:
1.定级(企业自主定级-专家评审-主管部门审核-公安机关审核)
2.备案(企业提交备案材料-公安机关审核-发放备案证明)
3.测评(等级测评-三级每年测评一次)
4.建设整改(安全建设-安全整改)
5.监督检查(公安机关每年监督检查)
一、企业自己做等级保护
1.在定级备案的步骤,一级不需要备案仅需企业自主定级。二级、三级是大部分普通企业的信息系统定级。四级、五级普通企业不会涉及,通常是与国家相关(如等保四级-涉及民生的,如铁路、能源、电力等)的重要系统。根据地区不同备案文件修改递交通常需要1个月左右的时间。
2.定级备案后,寻找本地区测评机构进行等级测评。
3.根据测评评分(GBT22239-2019信息安全技术网络安全等级保护基本要求。具体分数需要测评后才能给出)对信息系统(APP)进行安全整改,如果企业没有专业的安全团队,需要寻找安全公司进行不同项目的整改。等级保护2.0三级有211项内容,通常企业需要根据自身情况caigou安全产品完成整改。
4.进行安全建设整改后,通过测评。当地公安机关会进行监督检查包含定级备案测评、测评后抽查。
劣势:时间长、消耗人力成本高、技术人员不足还可能增加安全建设成本。整个流程企业自行做等级保护,顺利的话3-4个月完成,如果不熟悉需要半年甚至更久。
二、寻找第三方机构做等级保护
1.在定级备案步骤,有些等保机构会提出指导性意见协助企业提交定级报告。
2.第三方等保机构可以协助企业找到专业测评机构,测评机构提出整改意见,企业根据整改意见购买安全产品,完成测评。
优势:整个流程耗时短,合规专业,省时省力,安全建设成本低。合规之上还可以提供3方面的价值,核心业务重点保障,重要数据有效管理,关键网络安全防护。
等保2.0和3.0区别,什么场景要求2.0,什么场景要求3.0
一般认为等保2.0是指《信息安全技术网络安全等级保护基本要求》及其配套标准。等保3.0的全称是国家信息安全等级保护三级认证。目前只有等保1.0或者等保2.0的说法,还没有等保3.0。一般有人说等保3.0,就是错把等保三级测评当成了等保3.0。
等保项目主要集中在zhengfu、医院、法院、银行、电力、jungong、学校等单位,大型企业由于要为租户提供服务,安全问题突出,也是公安网安部门检查的重点。在金融、电力、广电、医疗、教育等行业,主管单位明确要求从业机构的信息系统要开展等级保护工作。
等保场景—七个行业 zhengfu /医院/法院/学校等
zhengfu:zhengfu部委局办门户网站镇(管理区)以上zhengfu门户网站原则上定为二级;党政机关重要业务应用系统原则上定为二级,特别重要的定为三级以上;
医院:国家卫健委《卫生行业信息安全等级保护工作的指导意见》规定了三级医院重要业务系统(可由各省卫健委自己定义)必须通过等保三级测评,二级医院重要业务系统必须通过等保二级测评;
学校:《教育行业信息系统安全等级保护定级工作指南》,一般来说学校的普通信息公告网站定级为等保二级,一些涉及师生信息储存,涉及多个校区共同的网站,定级为等保三级。但是,由于不同学校对于信息存储和网络安全建设情况不一样,需要结合具体情况而定。
法院:按照《人民法院信息安全保障总体建设方案》和《通知》相关要求,地级市人民法院专网局域网及广域网网络安全等级保护三级,等保项目改造方案应按照等级保护三级建设。
银行:商业银行核心业务系统为四级,网上银行、跨省骨干网,重要支撑系统,在线服务系统为三级,其他为二级。银联,银行卡信息交换是四级,跨省骨干网为三级,其他为两级。
电力:电力系统的核心生产系统和控制系统基本属于等保二级系统,EMS系统和SCADA系统达到四级,部分经营管理系统达到三级,其余系统均在二级以上。
jungong:jungong企业其实就像我们每一个个体一样,它也需要采用一些措施进行保密,现实中jungong保密资质是有分级的,二级jungong保密资质辅助一些项目的运转过程,同时参与成立项目的权限,可以走到了核心的部位,所以它也逐渐像高质量jungong保密资质迈进。三级jungong保密资质不但能够保护研究环节,同时还可以进入到开发环节。