等保測(cè)評(píng)對(duì)哪些行業(yè)來(lái)說(shuō)是硬性要求
目前,等保2.0已在全國(guó)各地陸續(xù)開(kāi)展起來(lái)。自從等保2.0相關(guān)的《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》等國(guó)家標(biāo)準(zhǔn)正式發(fā)布,等保2.0已成為網(wǎng)絡(luò)安全行業(yè)中的必需品。
等保2.0時(shí)代,重點(diǎn)對(duì)云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制以及大數(shù)據(jù)安全等進(jìn)行全面安全防護(hù),確保關(guān)鍵信息基礎(chǔ)設(shè)施安全。同時(shí),等保2.0更加注重全方位主動(dòng)防御、動(dòng)態(tài)防御、整體防控和精準(zhǔn)防護(hù)。
作為國(guó)家信息安全的基本制度,貫徹落實(shí)等級(jí)保護(hù)2.0是企業(yè)義不容辭的信息安全義務(wù),而未落實(shí)等保的企業(yè)將面臨被有關(guān)部門責(zé)令整改、行政處罰、暫停注冊(cè)、暫停運(yùn)營(yíng)等處罰。
黨政機(jī)關(guān):各大部委、各省級(jí)政府機(jī)關(guān)、各地市級(jí)政府機(jī)關(guān)、各事業(yè)單位等;
金融行業(yè):金融監(jiān)管機(jī)構(gòu)、各大銀行、證券公司、保險(xiǎn)公司等;
能源行業(yè):電力公司、石油公司、煙草公司等;
電信行業(yè):各大電信運(yùn)營(yíng)商、各省/市電信公司等;
企業(yè)單位:大中型企業(yè)、央企、上市公司等;
......
開(kāi)展網(wǎng)絡(luò)安全等級(jí)保護(hù)工作是保護(hù)信息化發(fā)展、維護(hù)網(wǎng)絡(luò)安全的保障,是網(wǎng)絡(luò)安全防護(hù)工作中國(guó)家意志的體現(xiàn),也是不少監(jiān)管機(jī)構(gòu)指定的備案材料,是監(jiān)管檢查的依據(jù)。
1.教育行業(yè)請(qǐng)注意!未完成等級(jí)保護(hù)備案的教育移動(dòng)應(yīng)用備案將被撤銷,并予以通報(bào)!
2019年9月,教育部等八部門聯(lián)合印發(fā)《關(guān)于引導(dǎo)規(guī)范教育移動(dòng)互聯(lián)網(wǎng)應(yīng)用有序健康發(fā)展的意見(jiàn)》(下稱“《意見(jiàn)》”)。其中,《意見(jiàn)》要求教育APP需要落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度,進(jìn)行教育業(yè)務(wù)備案,登記APP信息。
2.國(guó)家衛(wèi)健委《互聯(lián)網(wǎng)醫(yī)院管理辦法(試行)》規(guī)定了承載互聯(lián)網(wǎng)醫(yī)院的平臺(tái)必須通過(guò)等保三級(jí)測(cè)評(píng)
2018年,國(guó)家衛(wèi)健委《互聯(lián)網(wǎng)醫(yī)院管理辦法(試行)》規(guī)定了承載互聯(lián)網(wǎng)醫(yī)院的平臺(tái)必須通過(guò)等保三級(jí)測(cè)評(píng)。
2019年7月16日,上海市衛(wèi)生健康委員會(huì)關(guān)于印發(fā)《上海市互聯(lián)網(wǎng)醫(yī)院管理辦法》,其中規(guī)定“互聯(lián)網(wǎng)醫(yī)院信息系統(tǒng)按照《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》第三級(jí)標(biāo)準(zhǔn)完成定級(jí)備案和測(cè)評(píng),每年應(yīng)依法開(kāi)展測(cè)評(píng),測(cè)評(píng)通過(guò)后應(yīng)提交系統(tǒng)年度測(cè)評(píng)報(bào)告”。此辦法2019年9月1日開(kāi)始實(shí)施。
3.交通運(yùn)輸部出臺(tái)《數(shù)字交通發(fā)展規(guī)劃綱要》,明確要求落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度
2019年7月28日,交通運(yùn)輸部印發(fā)《數(shù)字交通發(fā)展規(guī)劃綱要》,綱要中明確指出,要“落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度,加強(qiáng)網(wǎng)絡(luò)安全與信息系統(tǒng)同步建設(shè),提高交通運(yùn)輸關(guān)鍵信息基礎(chǔ)設(shè)施和重要信息系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)能力?!?/span>
4.國(guó)家能源局關(guān)于印發(fā)《電力行業(yè)信息安全等級(jí)保護(hù)管理辦法》的通知,對(duì)中國(guó)電力行業(yè)的信息安全等級(jí)保護(hù)工作做了明確規(guī)定
電力信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)按照《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》(GB/T 25058-2010)具體實(shí)施等級(jí)保護(hù)工作。電力信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)本辦法、《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》(GB/T 22240-2008)和《電力行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指導(dǎo)意見(jiàn)》確定信息系統(tǒng)的安全保護(hù)等級(jí)。
5.中國(guó)人民銀行發(fā)布《金融行業(yè)信息系統(tǒng)信息安全等級(jí)保護(hù)實(shí)施指引》,保障金融行業(yè)信息系統(tǒng)信息安全等級(jí)保護(hù)建設(shè)、測(cè)評(píng)、整改工作順利開(kāi)展
為落實(shí)國(guó)家對(duì)金融行業(yè)信息系統(tǒng)信息安全等級(jí)保護(hù)相關(guān)工作要求,加強(qiáng)金融行業(yè)信息安全管理和技術(shù)風(fēng)險(xiǎn)防范,保障金融行業(yè)信息系統(tǒng)信息安全等級(jí)保護(hù)建設(shè)、測(cè)評(píng)、整改工作順利開(kāi)展,中國(guó)人民銀行組織編制了金融行業(yè)信息系統(tǒng)信息安全等級(jí)保護(hù)系列標(biāo)準(zhǔn)。
互金行業(yè)監(jiān)管《辦法》也要求,“網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)應(yīng)當(dāng)按照國(guó)家網(wǎng)絡(luò)安全相關(guān)規(guī)定和國(guó)家信息安全等級(jí)保護(hù)制度的要求,開(kāi)展信息系統(tǒng)定級(jí)備案和等級(jí)測(cè)試。”
......
(二)行業(yè)教訓(xùn)
因未履行等級(jí)保護(hù)測(cè)評(píng),造成了大量用戶信息泄露等嚴(yán)重后果并受到處罰的案例比比皆是。
1.煙臺(tái)市兩家企業(yè)因違反《網(wǎng)絡(luò)安全法》,對(duì)其存儲(chǔ)的公民個(gè)人信息履行網(wǎng)絡(luò)安全保護(hù)義務(wù)不力,被煙臺(tái)市公安局芝罘分局依法處罰。
公安機(jī)關(guān)在工作中發(fā)現(xiàn),煙臺(tái)市兩家企業(yè)運(yùn)行在互聯(lián)網(wǎng)上的自建信息系統(tǒng)中存有用戶的個(gè)人信息合計(jì)近20萬(wàn)條,但系統(tǒng)未落實(shí)網(wǎng)絡(luò)安全防護(hù)、安全審計(jì)、日志記錄等必要的安全保護(hù)技術(shù)措施,且系統(tǒng)管理員賬號(hào)使用弱口令,存在非常嚴(yán)重的安全隱患。
對(duì)兩家企業(yè)依法下達(dá)整改通知書(shū),并處罰款人民幣兩萬(wàn)元,對(duì)兩家企業(yè)網(wǎng)絡(luò)安全直接負(fù)責(zé)人和其他直接責(zé)任人員分別罰款人民幣一萬(wàn)元,同時(shí)對(duì)為兩家企業(yè)提供網(wǎng)絡(luò)技術(shù)服務(wù)的開(kāi)發(fā)區(qū)某企業(yè)予以警告,并對(duì)該公司網(wǎng)絡(luò)安全直接責(zé)任人員罰款一萬(wàn)元。
2.一高校網(wǎng)站遭黑客攻擊,學(xué)校及負(fù)責(zé)人分別被罰款10萬(wàn)和5萬(wàn)。
該高校網(wǎng)站平臺(tái)未留存web訪問(wèn)日志,服務(wù)器系統(tǒng)日志、安全日志留存時(shí)間不滿6個(gè)月留存時(shí)限,未開(kāi)展網(wǎng)絡(luò)安全檢測(cè),平臺(tái)內(nèi)共發(fā)現(xiàn)10余個(gè)木馬后門,技術(shù)防護(hù)措施極為薄弱。高校及高校負(fù)責(zé)人分別處以10萬(wàn)元和5萬(wàn)元的行政罰款。
3. 重慶某醫(yī)院未履行等級(jí)保護(hù)制度,被罰款1萬(wàn)元。
經(jīng)查,醫(yī)院HIS、LIS、PACS、EMR等后臺(tái)系統(tǒng)業(yè)務(wù)以及微信公眾號(hào)后臺(tái)、醫(yī)院網(wǎng)站等主要系統(tǒng)業(yè)務(wù)全部放置在同一套服務(wù)器中,醫(yī)院未安裝邊界防護(hù)設(shè)備、未安裝日志行為審計(jì)設(shè)備,未設(shè)置數(shù)據(jù)安全備份策略等其他網(wǎng)絡(luò)安全技術(shù)措施。黑客通過(guò)互聯(lián)網(wǎng)攻破醫(yī)院系統(tǒng)后植入勒索病毒,導(dǎo)致醫(yī)院業(yè)務(wù)全面“停擺”。事后對(duì)醫(yī)院處以罰款一萬(wàn)元,對(duì)直接負(fù)責(zé)的主管人員處以罰款五千元的行政處罰。
4.南陽(yáng)市某縣事業(yè)單位未落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度被處罰。
南陽(yáng)市某縣事業(yè)單位未進(jìn)行網(wǎng)絡(luò)安全等級(jí)保護(hù)的定級(jí)備案、等級(jí)測(cè)評(píng)等工作。經(jīng)多次督促整改,該單位網(wǎng)絡(luò)安全技術(shù)措施仍落實(shí)不到位,致使網(wǎng)站被篡改為商業(yè)網(wǎng)站。對(duì)該網(wǎng)絡(luò)運(yùn)營(yíng)單位處以一萬(wàn)元罰款,對(duì)負(fù)有直接責(zé)任的辦公室主任處以五千元罰款。
......
基于此,靈狐科技推出網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)服務(wù),幫助工作人員完成等級(jí)保護(hù)建設(shè)工作的同時(shí),能夠切實(shí)提升網(wǎng)絡(luò)安全防護(hù)能力,使用戶信息系統(tǒng)或網(wǎng)絡(luò)滿足國(guó)家等級(jí)保護(hù)基本要求,全方位助力互聯(lián)網(wǎng)安全發(fā)展。