要做等保,首先需要明确以下几个点:
一、开展等级保护的重要性
01 国家要求
国家通过法律法规和政策规范要求开展等级保护工作,如《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《网络安全等级保护条例》(征求意见稿)、《公安机关互联网安全监督检查规定》等。
02 行业监督要求
各行业监管部门在等级保护方面均有相关的监管要求和政策文件要求,部分行业存在等级保护行业标准,以指导行业开展等级保护工作。
03 企业安全需求
等级保护工作可以发现信息系统内部存在的安全隐患与不足,通过开展等级保护工作,提高信息系统的信息安全防护能力,降低间接产生的经济损失维持企业良好的形象。
04 规避风险
《中华人民共和国网络安全法》出台以后,等级保护工作已经上升到法律层面,对不开展等级保护可能违法并追究网络运营者及主管人员的法律责任。
二、等保测评等级怎么划分?
等保工作的核心在于“分级”,对于重要程度不同的网络系统,安全防护能力要求也有所不同。
在进行等保测评之前,网络运营者需要先完成待测评对象的定级,以明确测评的维度和标准。
01定级标准
当前我国实行的网络安全等级保护制度,将等级保护对象按照受破坏时所侵害的客体和对客体造成侵害的程度,从低到高划分了五个安全保护等级:
1.第一级:等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益造成一般损害,但不损害社会秩序公共利益、国家安全或地区安全、国计民生;
2.第二级:等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生严重和特别严重损害,或者对社会秩序和公共利益造成一般损害,但不损害国家安全;
3.第三级:等级保护对象受到破坏后,会对社会秩序和公共利益产生严重损害,但不损害国家安全;
4.第四级:等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成一般损害;
5.第五级:等级保护对象受到破坏后,会对国家安全造成严重损害或特别严重损害。
02常见定级对象
常见定级对象
03定级备案流程
等保对象定级备案的一般流程包括:确定定级对象、初步确定定级、专家评审、主管部门核准和公安机关备案审核。
定级备案流程
三、等级测评基本流程
等级测评过程包括四个基本测评活动:测评准备活动、方案编制活动、现场测评活动、报告编制活动。而测评相关方之间的沟通与洽谈应贯穿整个等级测评过程。
等级测评基本流程
四、谁要做等保?
国家网络安全等级保护坚持自主定级、自主保护的原则。公安部在等保2.0宣贯会上提出了等级保护的工作范围:
一是覆盖各地区、各单位、各部门、各企业、各机构,即覆盖全社会。
二是基本覆盖所有保护对象,主要包括基础信息网络、云计算平台/ 系统、 大数据应用/平台/资源/物联网、工业控制系统和采用移动互联网技术的系统等。
企业涉及到网络、信息系统等相关的事宜,都需要进行安全等保。
尤其是涉及到关键信息基础设施保护的信息系统,更是公安部门检查的重点。
01.政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位;
02.电信网、广播电视网、互联网等信息网络,以及提供云计算、大数据和其他大型公共信息网络服务的单位;
03.国防科工、大型装备、化工、食品药品等行业领域科研生产单位;
04.广播电台、电视台、通讯社等新闻单位;
