合作机构:阿里云 / 腾讯云 / 亚马逊云 / DreamHost / NameSilo / INWX / GODADDY / 百度统计
2017年6月1日正式实施的《网络安全法》第三章用了近三分之一的篇幅规范网络运行安全,特别强调要保障关键信息基础设施的运行安全。强调在网络安全等级保护制度的基础上,对关键信息基础设施实行重点保护,明确关键信息基础设施的运营者负有更多的安全保护义务,并配以国家安全审查、重要数据强制本地存储等法律措施,确保关键信息基础设施的运行安全。可见,开展等级保护工作是企业义不容辞的网络安全义务。下面就由飞度于队长和大家聊一聊等级保护测评那些你必须要知道的事!
一、哪些行业需要进行等级保护测评?
· 政府机关:各大部委、各省级政府机关、各地市级政府机关、各事业单位等
· 金融行业:金融监管机构、各大银行、证券、保险公司等
· 电信行业:各大电信运营商、各省电信公司、各地市电信公司、各类电信服务商等
· 能源行业:电力公司、石油公司、烟草公司
· 企业单位:大中型企业、央企、上市公司等
· 其它有信息系统定级需求的行业与单位。
单位内部到底哪些系统需要做等级保护测评?
每个单位都有好多信息系统,大的原则是:确定为二级及以上的信息系统是需要做等保测评的。
那么单位内部哪些是二级及以上信息系统呢?
(1)二级系统主要是以下系统:区县级重要的信息系统,地市级和省级的一般信息系统,这里的一般信息系统指的是不涉及敏感信息、重要信息的信息系统,这些系统都可以定为二级系统;
(2)三级系统主要有以下系统:省级单位门户网站、地级市影响力比较大的单位门户网站、地级市及以上重要的业务网站需要定为三级;地市级及以上内部涉及到工作秘密、敏感信息、重要信息的办公系统,管理系统需要定到三级,跨省的用于生产、调度、管理、指挥等在省、市的分支系统需要定为三级,跨省联结的网络系统要定为三级(这个一般都是全国运营的专网系统)。
当然我们在系统定级的时候还是要结合系统的重要性去实际定级,切勿死板硬套,例如我们在某区一个系统里面存储了全区上百万的人口信息,住房信息等等敏感信息,这样的系统虽然是在区县,但是就得定到三级。
二、开展等级保护测评的益处?
1.于企业——实施信息安全等级保护测评能够有效地提高单位信息和信息系统安全建设的整体水平,有效控制企业信息安全建设成本;有利于明确国家、法人和其他组织、公民的信息安全责任,加强企业信息安全管理。
2.于信息系统——通过等级保护测评可及时发现信息系统安全状况并制定方案进行整改,当信息系统完全达到安全保护能力要求时,信息系统就基本可做到“进不来、拿不走、改不了、看不懂、跑不了、可审计、打不垮”。
总之,等保工作不能局限于一个定级备案工作,加紧开展测评及后续的安全整改,发现问题,解决问题才是根本所在。
三、等级保护测评的难点有哪些?
1.等级保护工作有两大难点,一是等级保护定级,二是等级保护整改。等级保护定级决定了等级保护测评方向和测评的内容,而等级保护整改是决定等级保护复评结果的工作。飞度云会辅导运营单位准备定级报告,如果是三级的话,会组织专家进行评审。
2.等级保护整改过程中,有三大难点:标准的理解、方案的设计和产品的使用。飞度云联合各地服务质量优异的测评机构,从前期方案制定,到中期、设备采购方案实施,再到后期完成测评整改,提供一站式、全程合规、专业高效的服务,大大降低了运营单位的成本投入。
3.等级保护整改建设包括两大部分:安全管理建设整改和安全技术建设整改。
想要做好等级保护整改,需要熟悉《网络等级保护基本要求》,能够根据不同等级保护级别要求,了解到哪些要求项必须满足,哪些项目可以根据实际情况适当取舍。另外一方面就是在网络安全设备配置方面,飞度云的整改加固工程师可以为用户提供更为科学合理的配置采购方案,可以为您优化资源配置,节省一些不必要的安全产品
采购费用。而且有飞度云的等级保护加固人员,可以通过提前进行检测,能够更加了解目前整改工作完成了哪些等级保护测评机构给出的整改清单的项目,为预估等级保护测评结果提供一些参考数据,在一定程度上提高了等级保护测评复评的通过率。
飞度云为用户提供一站式的等保安全解决方案,助用户快速、安心过等保。
TOP