等保|深入了解過程
1.為什么要做等保系統定級?
等保2.0在2019年12月1日開始實施之后,政府機關、金融行業、電信行業、能源行業、企業單位、醫療行業、教育行業都被要求做信息系統定級。《網絡安全法》明確規定信息系統運營、使用單位應當按照網絡安全等級保護制度要求,履行安全保護義務,如果拒不履行,將會受到相應處罰。
2. 等級測評工作流程
定級——備案——安全建設整改——等級測評——檢查,大概的就是這些流程。簡單的來說,做等保就和看病一樣。
如果一個人生病了,就得看醫生,通過CT或者核磁共振等設備進行詳細檢查,針對檢查出的每一個問題給出具體的治療建議,經過治療強健身體降低再患病的風險或者減小患病后對人體造成的損害。
如果一個信息系統有風險,就得做等保,通過各類設備工具比如漏掃設備等進行全面詳細的檢查,針對檢查出的每一個風險漏洞給出具體的整改建議,經過整改提高信息系統的信息安全防護能力,降低系統被各種攻擊的風險,保證重要的信息系統在有攻擊的情況下能夠很好地抵御攻擊或者被攻擊后能夠快速的恢復應用,不造成重大損失或影響。
3.要是不進行等級保護的影響有多大?
如果符合以下三個特征,并且安全保護等級是二級及以上,還必須通過等級保護測評。
等級保護定級對象的三大基本特征:
①具有確定的主要安全責任主體;
②承載相對獨立的業務應用;
③包含相互關聯的多個資源。
也許有人會抱有僥幸心理,感覺不進行等保也無所謂。非也非也,不進行等保還會面臨處罰等嚴重后果。
舉個例子:
河南省安陽市內黃縣教師培訓與教育究中心網站自上線運行以來,始終未進行網絡安全等級保護的定級備案、等級測評等工作,導致網站存在高危漏洞,造成網站發生被黑客攻擊入事件。根據《網絡安全法》第二十一條和五十九條之規定,內鄉縣公安局網安大隊依法對河南省安陽市內黃縣教師培訓與教育研究中心被處一萬元罰款,法人代表許某某被處五千元罰款。
因此,我們除了要認識到等級保護的重要性,還要避免在日常開展等級保護工作中一些誤區,只有正確認識等保,才能防患于未然↓↓
.1等級保護是否是強制性的,可以不做嗎?
答:《中華人民共和國網絡安全法》第二十一條規定網絡運營者應當按照網絡安全等級保護制度的要求,履行相關的安全保護義務。同時第七十六條定義了網絡運營者是指網絡的所有者、管理者和網絡服務提供者。
等級保護相關標準雖然為非強制性的推薦標準,但網絡(個人與家庭網絡除外)運營者必須按網絡安全法開展等級保護工作。
.2、“等保”與“分保”有什么區別?
答:指等級保護與分級保護,主要不同在監管部門、適用對象、分類等級等方面。
監管部門不一樣,等級保護由公安部門監管,分級保護由國家保密局監管。
適用對象不一樣,等級保護適用非涉密系統,分級保護適用于涉及國家密秘系統。
等級分類不同,等級保護分5個級別:一級(自主保護)、二級(指導保護)、三級(監督保護)、四級(強制保護)、五級(專控保護);分級保護分3個級別:秘密級、機密級、絕密級。
3、我的系統已經上云或者系統托管到其他地方,系統就不歸我管了,就不用做等保了?
答:根據“誰運營誰負責,誰使用誰負責,誰主管誰負責”的原則,該系統責任主體還是屬于網絡運營者自己,所以還是得承擔相應的網絡安全責任,該進行系統定級的還是得定級,該做等保的還是得做等保。
.4、等級保護工作就是做個測評就可以?
答:等級保護工作不僅是一個測評而是包含:定級、備案、測評、建設整改和監督審查五項內容,測評只是其中一項。
5、系統在內網,就不需要做等保了?
答:首先所有非涉密系統都屬于等級保護范疇,和系統在外網還是內網沒有關系;其次在內網的系統往往其網絡安全技術措施做的并不好,甚至不少系統已經中毒不淺。所以不論系統在內網還是外網都得及時開展等保工作。
6、不做等保沒關系,只要不出事就行?
答:《中華人民共和國網絡安全法》第二十一條 國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求,履行下列安全保護義務,保障網絡免受干擾、破壞或者未經授權的訪問,防止網絡數據泄露或者被竊取、篡改:(五)法律、行政法規規定的其他義務。不做等保就屬于第五個行為,國內目前已經有公開報道的因沒有落實等級保護制度而被處罰的真實案例。所以等保及時去做,不要等。
7、等保測評做過一次就可以了,以后隨便做不做?
答:等保工作是一個持續的工作,等保測評也是一個周期性的工作,三級系統要求每年做一次,四級系統每半年做一次,二級系統部分行業明確要求每兩年做一次,沒有明確要求的行業建議大家兩年做一次測評。
8、是否系統定級越低越好?
答:不是。可根據實際業務系統的情況參照定級標準進行定級,采用“定級過低不允許、定級過高不可取”的原則。當出現網絡安全事件進行追責的時候,如因系統定級過低,需承擔系統定級不合理、安全責任沒有履行到位的風險。
(注意:等級保護最后需要由等級保護測評機構出具“等級保護測評報告”)
等保2.0在2019年12月1日開始實施之后,政府機關、金融行業、電信行業、能源行業、企業單位、醫療行業、教育行業都被要求做信息系統定級。《網絡安全法》明確規定信息系統運營、使用單位應當按照網絡安全等級保護制度要求,履行安全保護義務,如果拒不履行,將會受到相應處罰。
2. 等級測評工作流程
定級——備案——安全建設整改——等級測評——檢查,大概的就是這些流程。簡單的來說,做等保就和看病一樣。
如果一個人生病了,就得看醫生,通過CT或者核磁共振等設備進行詳細檢查,針對檢查出的每一個問題給出具體的治療建議,經過治療強健身體降低再患病的風險或者減小患病后對人體造成的損害。
如果一個信息系統有風險,就得做等保,通過各類設備工具比如漏掃設備等進行全面詳細的檢查,針對檢查出的每一個風險漏洞給出具體的整改建議,經過整改提高信息系統的信息安全防護能力,降低系統被各種攻擊的風險,保證重要的信息系統在有攻擊的情況下能夠很好地抵御攻擊或者被攻擊后能夠快速的恢復應用,不造成重大損失或影響。
3.要是不進行等級保護的影響有多大?
如果符合以下三個特征,并且安全保護等級是二級及以上,還必須通過等級保護測評。
等級保護定級對象的三大基本特征:
①具有確定的主要安全責任主體;
②承載相對獨立的業務應用;
③包含相互關聯的多個資源。
也許有人會抱有僥幸心理,感覺不進行等保也無所謂。非也非也,不進行等保還會面臨處罰等嚴重后果。
舉個例子:
河南省安陽市內黃縣教師培訓與教育究中心網站自上線運行以來,始終未進行網絡安全等級保護的定級備案、等級測評等工作,導致網站存在高危漏洞,造成網站發生被黑客攻擊入事件。根據《網絡安全法》第二十一條和五十九條之規定,內鄉縣公安局網安大隊依法對河南省安陽市內黃縣教師培訓與教育研究中心被處一萬元罰款,法人代表許某某被處五千元罰款。
因此,我們除了要認識到等級保護的重要性,還要避免在日常開展等級保護工作中一些誤區,只有正確認識等保,才能防患于未然↓↓
.1等級保護是否是強制性的,可以不做嗎?
答:《中華人民共和國網絡安全法》第二十一條規定網絡運營者應當按照網絡安全等級保護制度的要求,履行相關的安全保護義務。同時第七十六條定義了網絡運營者是指網絡的所有者、管理者和網絡服務提供者。
等級保護相關標準雖然為非強制性的推薦標準,但網絡(個人與家庭網絡除外)運營者必須按網絡安全法開展等級保護工作。
.2、“等保”與“分保”有什么區別?
答:指等級保護與分級保護,主要不同在監管部門、適用對象、分類等級等方面。
監管部門不一樣,等級保護由公安部門監管,分級保護由國家保密局監管。
適用對象不一樣,等級保護適用非涉密系統,分級保護適用于涉及國家密秘系統。
等級分類不同,等級保護分5個級別:一級(自主保護)、二級(指導保護)、三級(監督保護)、四級(強制保護)、五級(專控保護);分級保護分3個級別:秘密級、機密級、絕密級。
3、我的系統已經上云或者系統托管到其他地方,系統就不歸我管了,就不用做等保了?
答:根據“誰運營誰負責,誰使用誰負責,誰主管誰負責”的原則,該系統責任主體還是屬于網絡運營者自己,所以還是得承擔相應的網絡安全責任,該進行系統定級的還是得定級,該做等保的還是得做等保。
.4、等級保護工作就是做個測評就可以?
答:等級保護工作不僅是一個測評而是包含:定級、備案、測評、建設整改和監督審查五項內容,測評只是其中一項。
5、系統在內網,就不需要做等保了?
答:首先所有非涉密系統都屬于等級保護范疇,和系統在外網還是內網沒有關系;其次在內網的系統往往其網絡安全技術措施做的并不好,甚至不少系統已經中毒不淺。所以不論系統在內網還是外網都得及時開展等保工作。
6、不做等保沒關系,只要不出事就行?
答:《中華人民共和國網絡安全法》第二十一條 國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求,履行下列安全保護義務,保障網絡免受干擾、破壞或者未經授權的訪問,防止網絡數據泄露或者被竊取、篡改:(五)法律、行政法規規定的其他義務。不做等保就屬于第五個行為,國內目前已經有公開報道的因沒有落實等級保護制度而被處罰的真實案例。所以等保及時去做,不要等。
7、等保測評做過一次就可以了,以后隨便做不做?
答:等保工作是一個持續的工作,等保測評也是一個周期性的工作,三級系統要求每年做一次,四級系統每半年做一次,二級系統部分行業明確要求每兩年做一次,沒有明確要求的行業建議大家兩年做一次測評。
8、是否系統定級越低越好?
答:不是。可根據實際業務系統的情況參照定級標準進行定級,采用“定級過低不允許、定級過高不可取”的原則。當出現網絡安全事件進行追責的時候,如因系統定級過低,需承擔系統定級不合理、安全責任沒有履行到位的風險。
(注意:等級保護最后需要由等級保護測評機構出具“等級保護測評報告”)
