做等保测评是为了减少信息安全风险性,提升信息管理系统的安全防护工作能力;达到国家最新法律法规和机制的规定;达到有关主管企业和领域规定;有效地避开或减少风险性,为保障用户信息与维护资金安全筑起了一道坚实的高墙。
信息载体进行等级分级保护的一项重要工作,这么说可能比较繁琐,简单来说,就是对系统还有放置系统的服务器、安全设备、网络设备、机房等进行安全测评,确定信息系统的安全程度能够满足等保 2.0 的要求。而等保 2.0 是有国家规定的,包括十个方面,安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全人员管理、安全运维管理、安全建设管理、安全管理制度,简单来说就是物理环境、网络及网络设备、边界防护安全、计算安全、制度、人员、运维、制度等安全措施,这一系列措施都是围绕信息系统,对信息系统进行安全防护的基础。
为什么要做等保测评
1.国家的要求
在网络安全法中明确规定,网络安全的运营者需要按照等级保护对信息系统进行保护,履行等级保护义务,如违法会对其进行警告,在一定时间内拒不整改,会对企业处以 1-10 万元的罚款。
2.企业的要求
随着网络攻击的不断增多,单位对于信息系统的使用频率增加,安全隐患也逐渐增加,尤其是政府、事业单位系统,一旦受到黑客攻击,泄露机密信息,会对国家造成重大打击,如果是企业本身的信息被泄露,也会对企业造成重大打击,每年我国境内被篡改的政府网站都达到上千个,被攻击的网站多达几万个,所以信息系统做等保,是对系统安全性提高的一种建设。
3.监管部门的要求
如事业单位、医疗、教育部门、金融、网络货运、电子商务等行业,信息系统想要上线,首先局势需要经过等保测评,确定满足等保三级要求,网监部门才允许系统上线,否则业务无法开展。
等保测评的意义
减少信息安全风险性,提升信息管理系统的安全防护工作能力;达到国家最新法律法规和机制的规定;达到有关主管企业和领域规定;有效地避开或减少风险性。
做完等保测评,表明企业在信息安全等级保护、风险控制和系统整体化建设方面,得到了权威机构的认可,标志着平台在网络攻击防范能力、内部系统和制度的完善程度、用户隐私保护、资金安全漏洞等合规方面全面升级,为保障用户信息与维护资金安全筑起了一道坚实的高墙。
做等保需要什么样的要求
首先是需要有一个系统,只有有信息系统才有做等保的需求。需要完善的安全设备,如防火墙、ips、防病毒、堡垒机、数据库审计、日志审计,可以是硬件也可以是云产品,取决于你的服务器是硬件还是云主机。机房,如果是硬件设备需要一个物理机房,机房需要满足等保三级要求,如监控、门禁、灭火器、空调、冗余电力、防静电、防雷击等等,不满足等保要求无法通过。专业的技术人员以及相关的安全制度,这些较为简单。
如果自己有机房可以把机房变成等保合规机房,如果没有机房也可以选择云服务商,这样就不需要机房。如果自己是硬件设备,没有机房,可以选择放在符合等保要求的机房内,就可以满足等保要求。
等保复测需要重新定级吗
根据 2022 年 4 月 28 日发布的国家等级保护标准体系的核心标准之一的 GB/T 22240-2020《信息安全技术 网络安全等级保护定级指南》,当等级保护对象所处理的业务信息和系统服务范围发生变化,可能导致业务信息安全或系统服务安全受到破坏后的受侵害客体和对客体的侵害程度发生变化时,企业需根据该标准重新确定定级对象和安全保护等级。
也就是说,等保复测需不需要重新定级是根据等级保护对象所处理的业务信息和系统服务范围是否发生变化来确定的。根据相关经验来讲,由于系统扩展需要,用户量增加,二级等保在复测的时候一般需要重新定级,三级和四级等保则比较稳定,一般不需要重新定级。
