等保测评整改你需要做么
什么是等保测评?
等保测评是经公安部认证的具有资质的测评机构,依据国家信息安全等级保护规范规定,受有关单位委托,按照有关管理规范和技术标准,对信息系统安全等级保护状况进行检测评估的活动。
为什么要做等保测评?
很多企业不明白为什么要花费巨额资金来做等级保护测评,做完等保测评,表明企业在信息安全等级保护、风险控制和系统整体化建设方面,得到了机构的认可,标志着平台在网络攻击防范能力、内部系统和制度的完善程度、用户隐私保护、资金安全漏洞等合规方面全面升级,为保障用户信息与维护资金安全筑起了一道坚实的高墙。
企业自保——企业安全困境亟待解决
运维不规范,导致数据在存储、传输、处理过程中被泄漏、破坏和受未授权修改。
不管是政府还是企业网站/系统,面临着各种各样的安全问题,如网站遭遇攻击、网上信息泄密、数据丢失、病毒、不良信息的迅速传播等等。
目前很多企业对信息系统管理重视不够、缺乏应有的管理措施也促使网络信息存在安全隐患,主要体现在以下两个方面:一是办公人员计算机应用水平参差不齐,安全意识薄弱;二是管理制度不完善,缺乏专职网络安全管理人员。
缺乏完整的安全策略、缺乏监控和防范技术手段、缺乏有效的手段来评估网络系统和操作系统的安全性、缺乏自动化的集中数据备份及灾难恢复措施等。
企业保护——核心痛点
运维不规范,失误不间断
安全漏洞、高危风险,为攻击创造机会
系统防护、能力缺失
没有完善的应急响应措施
企业自保——打破对等级测评的误解
误解一:系统已经上云或者系统托管到其他地方,所以系统的相应安全运维就不归自己管了,自然等保工作就不需要做了。
根据“谁运营谁负责,谁使用谁负责,谁主管谁负责”的原则,该系统责任主体还是属于网络运营者自己,所以还是得承担相应的网络安全责任,该进行系统定级的还是得定级,该做等保的还是得做等保。
误解二:系统定完级监管会更严格,不想麻烦。
所有非涉密系统都属于等级保护范畴,没有定级不代表不需要被监管,相反如果没有被纳入监管,反而会比较危险,哪天出了事就比较难收拾残局。
误解三:等保测评做过一次就可以了,以后不用做了?
等保工作是一个持续的工作,等保测评也是一个周期性的工作,三级系统要求每年做一次,四级系统每半年做一次,二级系统部分行业明确要求每两年做一次,没有明确要求的行业建议大家两年做一次测评。
误解四:不做等保没关系,只要不出事就行?
网络安全技术发展日新月异,什么叫安全?买什么产品做什么服务就能安全?的安全是不可能的,我们不能百分百保证我们的系统是安全的,但是我们得把我们能做的工作及时做到位,该做的工作做到了,自然也就相对安全了。
误解五:系统在内网,就不需要做等保了?
首先所有非涉密系统都属于等级保护范畴,和系统在外网还是内网没有关系;其次在内网的系统往往其网络安全技术措施做的并不好,甚至不少系统已经中毒不浅。所以不论系统在内网还是外网都得及时开展等保工作。
误解六:等保测评做完就得花很多钱去整改?
整改花多少钱取决于你的信息系统等级、系统现有的安全防护措施状况以及网络运营者对测评分数的期望值,不一定要花很多钱甚至不花钱。
等级保护责任重大——企业对信息安全的要求
开展等保的重要原因是为了通过等级保护测评工作,发现单位系统内、外部存在的安全风险和脆弱性,通过整改之后,提高信息系统的信息安全防护能力,降低系统被各种攻击的风险。
一般用户单位内部系统较多,用途不一样,受众群体和使用用户也不一样,那我们就需要通过等级保护去梳理和分析我们现有的信息系统,将不同系统分不同重要等级进行分等级保护,这就是等保的定级工作。
等级保护责任重大——主管单位对相关行业的要求
根据《网络安全法》,一切具有联网功能的网络信息系统的运营、使用单位或者其主管部门(参照《信息安全等级保护管理办法》规定,统称为“备案主体”),都必须执行网络安全等级保护制度,并根据定级情况履行等定级保备案义务。
等级保护涉及范围
(一)省辖市以上党政机关的重要网站和办公信息系统;
(二)电信、广电行业的公用通信网、广播电规传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统;
(三)铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。
等保进入2.0时代
等保2.0将在2019年12月1日正式实施。
2019年5月13日下午,国家市场监督管理总局召开发布会,期待已久的等保2.0正式发布。根据新的消息,等保2.0将在2019年12月1日正式实施。
等保1.0到2.0的名称变化
等保1.0的名称为《信息安全技术信息系统安全等级保护基本要求》等保2.0的名称为《信息安全技术网络安全等级保护基本要求》(与《网络安全法》中的相关法律条文保持一致)
等保1.0到2.0定级对象的变化
安全等级保护的对象包括网络基础设施(广电网、电信网、专用通信网络等)、云计算平台/系统、大数据平台/系统、物联网、工业控制系统、采用移动互联技术的系统等。定级程度有所上升,提高了对公民、法人和其他组织的合法权益这一侵害客体的侵害程度定级,其中特别严重损害程度由从原来的第二级升级为第三级。
等保测评的等级划分
级适用于一般的信息系统,其受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级适用于一般的信息系统,其受到破坏后,会对公民、法人和其他组织的合法权益造成严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级信息安全系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级信息系统受到破坏后,会对国家安全造成特别严重损害。
等保2.0的基本安全要求
技术要求:完全物理环境、安全通讯网络、安全区域边界、安全计算机环境、安全管理中心
管理要求:安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理
等保测评是经公安部认证的具有资质的测评机构,依据国家信息安全等级保护规范规定,受有关单位委托,按照有关管理规范和技术标准,对信息系统安全等级保护状况进行检测评估的活动。
为什么要做等保测评?
很多企业不明白为什么要花费巨额资金来做等级保护测评,做完等保测评,表明企业在信息安全等级保护、风险控制和系统整体化建设方面,得到了机构的认可,标志着平台在网络攻击防范能力、内部系统和制度的完善程度、用户隐私保护、资金安全漏洞等合规方面全面升级,为保障用户信息与维护资金安全筑起了一道坚实的高墙。
企业自保——企业安全困境亟待解决
运维不规范,导致数据在存储、传输、处理过程中被泄漏、破坏和受未授权修改。
不管是政府还是企业网站/系统,面临着各种各样的安全问题,如网站遭遇攻击、网上信息泄密、数据丢失、病毒、不良信息的迅速传播等等。
目前很多企业对信息系统管理重视不够、缺乏应有的管理措施也促使网络信息存在安全隐患,主要体现在以下两个方面:一是办公人员计算机应用水平参差不齐,安全意识薄弱;二是管理制度不完善,缺乏专职网络安全管理人员。
缺乏完整的安全策略、缺乏监控和防范技术手段、缺乏有效的手段来评估网络系统和操作系统的安全性、缺乏自动化的集中数据备份及灾难恢复措施等。
企业保护——核心痛点
运维不规范,失误不间断
安全漏洞、高危风险,为攻击创造机会
系统防护、能力缺失
没有完善的应急响应措施
企业自保——打破对等级测评的误解
误解一:系统已经上云或者系统托管到其他地方,所以系统的相应安全运维就不归自己管了,自然等保工作就不需要做了。
根据“谁运营谁负责,谁使用谁负责,谁主管谁负责”的原则,该系统责任主体还是属于网络运营者自己,所以还是得承担相应的网络安全责任,该进行系统定级的还是得定级,该做等保的还是得做等保。
误解二:系统定完级监管会更严格,不想麻烦。
所有非涉密系统都属于等级保护范畴,没有定级不代表不需要被监管,相反如果没有被纳入监管,反而会比较危险,哪天出了事就比较难收拾残局。
误解三:等保测评做过一次就可以了,以后不用做了?
等保工作是一个持续的工作,等保测评也是一个周期性的工作,三级系统要求每年做一次,四级系统每半年做一次,二级系统部分行业明确要求每两年做一次,没有明确要求的行业建议大家两年做一次测评。
误解四:不做等保没关系,只要不出事就行?
网络安全技术发展日新月异,什么叫安全?买什么产品做什么服务就能安全?的安全是不可能的,我们不能百分百保证我们的系统是安全的,但是我们得把我们能做的工作及时做到位,该做的工作做到了,自然也就相对安全了。
误解五:系统在内网,就不需要做等保了?
首先所有非涉密系统都属于等级保护范畴,和系统在外网还是内网没有关系;其次在内网的系统往往其网络安全技术措施做的并不好,甚至不少系统已经中毒不浅。所以不论系统在内网还是外网都得及时开展等保工作。
误解六:等保测评做完就得花很多钱去整改?
整改花多少钱取决于你的信息系统等级、系统现有的安全防护措施状况以及网络运营者对测评分数的期望值,不一定要花很多钱甚至不花钱。
等级保护责任重大——企业对信息安全的要求
开展等保的重要原因是为了通过等级保护测评工作,发现单位系统内、外部存在的安全风险和脆弱性,通过整改之后,提高信息系统的信息安全防护能力,降低系统被各种攻击的风险。
一般用户单位内部系统较多,用途不一样,受众群体和使用用户也不一样,那我们就需要通过等级保护去梳理和分析我们现有的信息系统,将不同系统分不同重要等级进行分等级保护,这就是等保的定级工作。
等级保护责任重大——主管单位对相关行业的要求
根据《网络安全法》,一切具有联网功能的网络信息系统的运营、使用单位或者其主管部门(参照《信息安全等级保护管理办法》规定,统称为“备案主体”),都必须执行网络安全等级保护制度,并根据定级情况履行等定级保备案义务。
等级保护涉及范围
(一)省辖市以上党政机关的重要网站和办公信息系统;
(二)电信、广电行业的公用通信网、广播电规传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统;
(三)铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。
等保进入2.0时代
等保2.0将在2019年12月1日正式实施。
2019年5月13日下午,国家市场监督管理总局召开发布会,期待已久的等保2.0正式发布。根据新的消息,等保2.0将在2019年12月1日正式实施。
等保1.0到2.0的名称变化
等保1.0的名称为《信息安全技术信息系统安全等级保护基本要求》等保2.0的名称为《信息安全技术网络安全等级保护基本要求》(与《网络安全法》中的相关法律条文保持一致)
等保1.0到2.0定级对象的变化
安全等级保护的对象包括网络基础设施(广电网、电信网、专用通信网络等)、云计算平台/系统、大数据平台/系统、物联网、工业控制系统、采用移动互联技术的系统等。定级程度有所上升,提高了对公民、法人和其他组织的合法权益这一侵害客体的侵害程度定级,其中特别严重损害程度由从原来的第二级升级为第三级。
等保测评的等级划分
级适用于一般的信息系统,其受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级适用于一般的信息系统,其受到破坏后,会对公民、法人和其他组织的合法权益造成严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级信息安全系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级信息系统受到破坏后,会对国家安全造成特别严重损害。
等保2.0的基本安全要求
技术要求:完全物理环境、安全通讯网络、安全区域边界、安全计算机环境、安全管理中心
管理要求:安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理