一�����、什么是等保���?
定義:“等?!比Q為“信息安全等級(jí)保護(hù)”。等級(jí)保護(hù)制度是我國(guó)網(wǎng)絡(luò)安全的基本制度���,是對(duì)信息和信息載體按照重要性等級(jí)分級(jí)別進(jìn)行保護(hù)的一種工作���,指對(duì)國(guó)家重要信息、法人和其他組織及公民的專有信息以及公開(kāi)信息和存儲(chǔ)����、傳輸、處理這些信息的信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù)����,對(duì)信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級(jí)管理,對(duì)信息系統(tǒng)中發(fā)生的信息安全事件分等級(jí)響應(yīng)����、處置。
簡(jiǎn)單來(lái)說(shuō):根據(jù)涉及互聯(lián)網(wǎng)的相關(guān)系統(tǒng)�,按照國(guó)家的相關(guān)標(biāo)準(zhǔn)進(jìn)行等級(jí)評(píng)定,并按照對(duì)應(yīng)等級(jí)的相關(guān)要求�����,開(kāi)展對(duì)該系統(tǒng)的全面檢測(cè)��、整改,盡可能降低系統(tǒng)風(fēng)險(xiǎn)�,增強(qiáng)應(yīng)對(duì)外來(lái)網(wǎng)絡(luò)病毒、黑客組織�����、敵對(duì)國(guó)家攻擊的防護(hù)能力和自救能力�,實(shí)現(xiàn)保護(hù)互聯(lián)網(wǎng)系統(tǒng)的安全��、穩(wěn)定的工作��。
通俗來(lái)講:公司或者單位因?yàn)橐没ヂ?lián)網(wǎng)�����,而你的信息系統(tǒng)中可能會(huì)涉及很多不可泄露的敏感信息�����,同時(shí)網(wǎng)絡(luò)上存在很多不法分子���,當(dāng)你的信息系統(tǒng)受到破壞后�����,可能會(huì)對(duì)公民���、法人�、組織��,甚至社會(huì)�����、國(guó)家安全造成損害���,而你的信息系統(tǒng)在等級(jí)保護(hù)安全要求中劃為幾級(jí)保護(hù)系統(tǒng)���,便是根據(jù)信息系統(tǒng)的重要性和敏感程度來(lái)確定的。因此�����,為了避免被騙�、被坑、被攻擊���,需要根據(jù)這個(gè)級(jí)別要求���,對(duì)自家的院墻(設(shè)備硬件)進(jìn)行檢查�����,看是否有缺口�,咱要對(duì)自家的保鏢(系統(tǒng)軟件)進(jìn)行檢查考核����,看看他們能不能打�����、有沒(méi)有內(nèi)奸�,看看自家的管家、工人(管理人員)有沒(méi)有不鎖門��、不關(guān)燈����、監(jiān)守自盜等,且隔一段時(shí)間就對(duì)這些進(jìn)行檢查���、評(píng)比�,發(fā)現(xiàn)問(wèn)題抓緊處理改進(jìn),確保自身和財(cái)產(chǎn)的安全���。
二�、為什么要做等保����?
1、法律法規(guī)要求
從法律要求層面來(lái)說(shuō)��,網(wǎng)絡(luò)安全等級(jí)保護(hù)是國(guó)家信息安全保障基本制度�����、基本策略�����、基本方法�����?��!吨腥A人民共和國(guó)網(wǎng)絡(luò)安全法》第二十一條��、第三十一條明確規(guī)定網(wǎng)絡(luò)運(yùn)營(yíng)��、使用單位應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度要求履行安全保護(hù)義務(wù)�。如果拒不履行,將會(huì)受到相應(yīng)處罰�����。也就是說(shuō)�,如果不開(kāi)展等保工作就等同于違法。
2���、行業(yè)監(jiān)管要求
越來(lái)越多的行業(yè)及主管/監(jiān)管單位明確要求企業(yè)開(kāi)展等級(jí)保護(hù)工作,目前金融����、電力、能源�����、醫(yī)療�、教育、物流等行業(yè)均將等保作為準(zhǔn)入門檻之一。
3��、企業(yè)系統(tǒng)安全需求
網(wǎng)絡(luò)運(yùn)營(yíng)�、使用單位通過(guò)開(kāi)展等級(jí)保護(hù)工作可以發(fā)現(xiàn)信息系統(tǒng)內(nèi)部存在的安全隱患與不足,進(jìn)行安全整改之后����,提高信息系統(tǒng)的信息安全防護(hù)能力,降低間接產(chǎn)生的經(jīng)濟(jì)損失��,維持企業(yè)良好的形象��。
三��、不做等級(jí)保護(hù)的危害
不做等級(jí)保護(hù)或者不按照規(guī)定做等級(jí)保護(hù)���,會(huì)給信息系統(tǒng)帶來(lái)嚴(yán)重的危害����。具體表現(xiàn)為:
1�、增加了信息系統(tǒng)遭受網(wǎng)絡(luò)攻擊、惡意軟件���、黑客入侵等威脅的風(fēng)險(xiǎn)�����,可能導(dǎo)致數(shù)據(jù)泄露���、業(yè)務(wù)中斷����、功能失效等后果�,影響信息系統(tǒng)的可用性、完整性和機(jī)密性�����;
2�、降低了信息系統(tǒng)對(duì)內(nèi)部和外部審計(jì)、監(jiān)督����、檢查的適應(yīng)能力�����,可能導(dǎo)致無(wú)法通過(guò)合規(guī)性評(píng)估或認(rèn)證�����,影響信息系統(tǒng)的合法性和信任度;
3���、削弱了信息系統(tǒng)對(duì)突發(fā)事件����、災(zāi)難恢復(fù)�����、應(yīng)急處置等應(yīng)對(duì)能力����,可能導(dǎo)致無(wú)法及時(shí)恢復(fù)正常運(yùn)行狀態(tài),影響信息系統(tǒng)的可恢復(fù)性和可維護(hù)性�;
4、影響了信息系統(tǒng)與其他相關(guān)方(如用戶��、客戶�、合作伙伴、監(jiān)管機(jī)構(gòu)等)之間的溝通交流和協(xié)作配合��,可能導(dǎo)致信任缺失�、關(guān)系緊張或沖突升級(jí)���,影響信息系統(tǒng)的互操作性和社會(huì)責(zé)任。
四�����、哪些企業(yè)和單位應(yīng)該開(kāi)展等保工作�����?
等級(jí)保護(hù)是一項(xiàng)重要的信息安全工作����,其目的是保障信息和資產(chǎn)的安全和保密。根據(jù)《信息安全等級(jí)保護(hù)管理辦法》��,哪些企業(yè)和單位應(yīng)該開(kāi)展等級(jí)保護(hù)工作取決于其信息系統(tǒng)的重要程度�����、安全風(fēng)險(xiǎn)以及所在地區(qū)的要求���。主要需開(kāi)展等級(jí)保護(hù)工作的單位和企業(yè):
1、涉及國(guó)家安全�、社會(huì)秩序�、公共利益等重要信息的單位和企業(yè)����,如政府機(jī)關(guān)、金融機(jī)構(gòu)�����、電信運(yùn)營(yíng)商�、能源企業(yè)等。
2��、安全風(fēng)險(xiǎn)較高的單位和企業(yè)����,如大型企業(yè)、互聯(lián)網(wǎng)企業(yè)等�����。
3���、處于戰(zhàn)略要地�、在行業(yè)中具有重要影響力的單位和企業(yè)����,如醫(yī)院���、高校等。
4�����、需要保障信息安全的關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者����,如電力、石油���、電信等企業(yè)��。
5�、其他有必要開(kāi)展等級(jí)保護(hù)工作的單位和企業(yè)���。
五���、等級(jí)保護(hù)的流程
1、系統(tǒng)定級(jí)。對(duì)業(yè)務(wù)�、資產(chǎn)����、安全技術(shù)和安全管理進(jìn)行調(diào)研,確定定級(jí)系統(tǒng)���,準(zhǔn)備定級(jí)報(bào)告��。御盾安全提供協(xié)助定級(jí)服務(wù)����,輔助用戶完成定級(jí)報(bào)告���,組織專家評(píng)審����。
2����、系統(tǒng)備案。持定級(jí)報(bào)告和備案表到當(dāng)?shù)毓簿W(wǎng)監(jiān)進(jìn)行備案����。御盾安全提供備案指引服務(wù)���、輔導(dǎo)用戶準(zhǔn)備材料、完成備案����。
3、建設(shè)整改���。參照定級(jí)要求和標(biāo)準(zhǔn)��,對(duì)信息系統(tǒng)整改加固���。御盾安全可協(xié)助用戶進(jìn)行系統(tǒng)的安全加固,協(xié)助用戶建設(shè)安全管理體系�,提供符合等保合規(guī)需求的安全產(chǎn)品。
4、等保測(cè)評(píng)。測(cè)評(píng)機(jī)構(gòu)對(duì)信息系統(tǒng)等級(jí)測(cè)評(píng)����,形成測(cè)評(píng)報(bào)告。御盾安全提供輔助等保測(cè)評(píng)服務(wù)���,整改后測(cè)評(píng)機(jī)構(gòu)對(duì)系統(tǒng)等級(jí)符合性狀況進(jìn)行測(cè)評(píng)�����,出具測(cè)評(píng)合格報(bào)告�����。
5、監(jiān)督檢查���。系統(tǒng)持續(xù)改進(jìn)與優(yōu)化�����,并按照法定相關(guān)要求進(jìn)行年檢和復(fù)查���。
為避免過(guò)度保護(hù)或疏于防范的情況,減少資源浪費(fèi)等��,建議聘請(qǐng)或咨詢專業(yè)的等級(jí)保護(hù)服務(wù)機(jī)構(gòu)����,制定科學(xué)合理的方案。
六�����、等保測(cè)評(píng)周期
等級(jí)保護(hù)測(cè)評(píng)的時(shí)間取決于信息系統(tǒng)的規(guī)模、復(fù)雜性和測(cè)評(píng)方的人力和設(shè)備等因素���,一般需要1-3個(gè)月不等的時(shí)間��。對(duì)于小規(guī)模的信息系統(tǒng)�,測(cè)評(píng)周期可能只需要2-3周�;而對(duì)于大規(guī)模、復(fù)雜的信息系統(tǒng)��,測(cè)評(píng)周期可能需要1-2個(gè)月���。此外�����,等級(jí)保護(hù)測(cè)評(píng)的時(shí)間還受到地區(qū)��、行業(yè)等因素的影響�,不同地區(qū)�����、不同行業(yè)的等級(jí)保護(hù)測(cè)評(píng)時(shí)間可能存在差異。
七����、等保測(cè)評(píng)多久做一次?
根據(jù)《信息安全等級(jí)保護(hù)管理辦法》公通字200743號(hào)十四條要求�����,三級(jí)信息系統(tǒng)應(yīng)當(dāng)每年開(kāi)展一次測(cè)評(píng)��;二級(jí)信息系統(tǒng)����,建議每?jī)赡觊_(kāi)展一次測(cè)評(píng)����;部分行業(yè)標(biāo)準(zhǔn)要求,如電力行業(yè)明確要求二級(jí)系統(tǒng)兩年做一次測(cè)評(píng)���。
聲明:粵龍企服文章如需轉(zhuǎn)載請(qǐng)注明原創(chuàng)來(lái)源��。本站部分文章和圖片來(lái)源網(wǎng)絡(luò)編輯���,如存在版權(quán)問(wèn)題請(qǐng)及時(shí)溝通處理�����。文章觀點(diǎn)僅代表作者本人�����,不代表粵龍企服立場(chǎng)��。
