2017年6月1日正式实施的《网络安全法》第三章用了近三分之一的篇幅规范网络运行安全,特别强调要保障关键信息基础设施的运行安全。强调在网络安全等级保护制度的基础上,对关键信息基础设施实行重点保护,明确关键信息基础设施的运营者负有更多的安全保护义务,并配以国家安全审查、重要数据强制本地存储等法律措施,确保关键信息基础设施的运行安全。可见,开展等级保护工作是企业义不容辞的网络安全义务。
哪些行业需要进行等级保护测评?
政府机关:各大部委、各省级政府机关、各地市级政府机关、各事业单位等
金融行业:金融监管机构、各大银行、证券、保险公司等
电信行业:各大电信运营商、各省电信公司、各地市电信公司、各类电信服务商等
能源行业:电力公司、石油公司、烟草公司
企业单位:大中型企业、央企、上市公司等
其它有信息系统定级需求的行业与单位。
单位内部到底哪些系统需要做等级保护测评?
每个单位都有好多信息系统,大的原则是:确定为二级及以上的信息系统是需要做等保测评的。
那么单位内部哪些是二级及以上信息系统呢?
二级系统主要是以下系统:区县级重要的信息系统,地市级和省级的一般信息系统,这里的一般信息系统指的是不涉及敏感信息、重要信息的信息系统,这些系统都可以定为二级系统;
三级系统主要有以下系统:省级单位门户网站、地级市影响力比较大的单位门户网站、地级市及以上重要的业务网站需要定为三级;地市级及以上内部涉及到工作秘密、敏感信息、重要信息的办公系统,管理系统需要定到三级,跨省的用于生产、调度、管理、指挥等在省、市的分支系统需要定为三级,跨省联结的网络系统要定为三级(这个一般都是全国运营的专网系统)。
当然我们在系统定级的时候还是要结合系统的重要性去实际定级,切勿死板硬套,例如我们在某区一个系统里面存储了全区上百万的人口信息,住房信息等等敏感信息,这样的系统虽然是在区县,但是就得定到三级。
开展等级保护测评的益处?
于企业——实施信息安全等级保护测评能够有效地提高单位信息和信息系统安全建设的整体水平,有效控制企业信息安全建设成本;有利于明确国家、法人和其他组织、公民的信息安全责任,加强企业信息安全管理。
于信息系统——通过等级保护测评可及时发现信息系统安全状况并制定方案进行整改,当信息系统完全达到安全保护能力要求时,信息系统就基本可做到“进不来、拿不走、改不了、看不懂、跑不了、可审计、打不垮”。
总之,等保工作不能局限于一个定级备案工作,加紧开展测评及后续的安全整改,发现问题,解决问题才是根本所在。
哪些机构可以做等级保护测评?
做等级保护测评需要找符合规定要求的等级保护测评机构。 什么样的测评机构是符合要求的?测评机构找哪家?不找蓝翔,只找符合规定要求的等级保护测评机构。
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。