2017年6月1日正式實施的《網絡安全法》第三章用了近三分之一的篇幅規范網絡運行安全,特別強調要保障關鍵信息基礎設施的運行安全。強調在網絡安全等級保護制度的基礎上,對關鍵信息基礎設施實行重點保護,明確關鍵信息基礎設施的運營者負有更多的安全保護義務,并配以國家安全審查、重要數據強制本地存儲等法律措施,確保關鍵信息基礎設施的運行安全。可見,開展等級保護工作是企業義不容辭的網絡安全義務。 哪些行業需要進行等級保護測評? 政府機關:各大部委、各省級政府機關、各地市級政府機關、各事業單位等 金融行業:金融監管機構、各大銀行、證券、保險公司等 電信行業:各大電信運營商、各省電信公司、各地市電信公司、各類電信服務商等 能源行業:電力公司、石油公司、煙草公司 企業單位:大中型企業、央企、上市公司等 其它有信息系統定級需求的行業與單位。 單位內部到底哪些系統需要做等級保護測評? 每個單位都有好多信息系統,大的原則是:確定為二級及以上的信息系統是需要做等保測評的。 那么單位內部哪些是二級及以上信息系統呢? 二級系統主要是以下系統:區縣級重要的信息系統,地市級和省級的一般信息系統,這里的一般信息系統指的是不涉及敏感信息、重要信息的信息系統,這些系統都可以定為二級系統; 三級系統主要有以下系統:省級單位門戶網站、地級市影響力比較大的單位門戶網站、地級市及以上重要的業務網站需要定為三級;地市級及以上內部涉及到工作秘密、敏感信息、重要信息的辦公系統,管理系統需要定到三級,跨省的用于生產、調度、管理、指揮等在省、市的分支系統需要定為三級,跨省聯結的網絡系統要定為三級(這個一般都是全國運營的專網系統)。 當然我們在系統定級的時候還是要結合系統的重要性去實際定級,切勿死板硬套,例如我們在某區一個系統里面存儲了全區上百萬的人口信息,住房信息等等敏感信息,這樣的系統雖然是在區縣,但是就得定到三級。 開展等級保護測評的益處? 于企業——實施信息安全等級保護測評能夠有效地提高單位信息和信息系統安全建設的整體水平,有效控制企業信息安全建設成本;有利于明確國家、法人和其他組織、公民的信息安全責任,加強企業信息安全管理。 于信息系統——通過等級保護測評可及時發現信息系統安全狀況并制定方案進行整改,當信息系統完全達到安全保護能力要求時,信息系統就基本可做到“進不來、拿不走、改不了、看不懂、跑不了、可審計、打不垮”。 總之,等保工作不能局限于一個定級備案工作,加緊開展測評及后續的安全整改,發現問題,解決問題才是根本所在。 哪些機構可以做等級保護測評? 做等級保護測評需要找符合規定要求的等級保護測評機構。 什么樣的測評機構是符合要求的?測評機構找哪家?不找藍翔,只找符合規定要求的等級保護測評機構。 |