什么是等級(jí)保護(hù)?為什么要做等保?怎么做等保
什么是等保2.0(等級(jí)保護(hù))?
全稱網(wǎng)絡(luò)安全等級(jí)保護(hù)。
在中國(guó),信息安全等級(jí)保護(hù)廣義上為涉及到該工作的標(biāo)準(zhǔn)、產(chǎn)品、系統(tǒng)、信息等均依據(jù)等級(jí)保護(hù)思想的安全工作;狹義上一般指信息系統(tǒng)(APP)安全等級(jí)保護(hù)。
信息安全等級(jí)保護(hù):
?對(duì)信息系統(tǒng)分等級(jí)進(jìn)行安全保護(hù)和監(jiān)管;
?對(duì)信息安全產(chǎn)品的使用實(shí)行分等級(jí)管理;
?對(duì)信息安全事件實(shí)行分等級(jí)響應(yīng)、處置。
等級(jí)保護(hù)是怎么分等級(jí)的?
將全國(guó)的信息系統(tǒng)(包括網(wǎng)絡(luò))按照信息系統(tǒng)的業(yè)務(wù)信息和系統(tǒng)服務(wù)被破壞后,對(duì)受侵害客體的侵害程度分成五個(gè)安全保護(hù)等級(jí)(從第一級(jí)到第五級(jí)逐級(jí)增高)。
為什么要做等級(jí)保護(hù)?
1. 法律法規(guī)要求
《網(wǎng)絡(luò)安全法》明確規(guī)定信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度要求,履行安全保護(hù)義務(wù),如果拒不履行,將會(huì)受到相應(yīng)處罰。
第二十一條:國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求,履行下列安全保護(hù)義務(wù),保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問(wèn),防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。
2. 行業(yè)要求
在金融、電力、廣電、醫(yī)療、教育等行業(yè),主管單位明確要求從業(yè)機(jī)構(gòu)的信息系統(tǒng)(APP)要開(kāi)展等級(jí)保護(hù)工作。
3. 企業(yè)系統(tǒng)安全的需求
信息系統(tǒng)運(yùn)營(yíng)、使用單位通過(guò)開(kāi)展等級(jí)保護(hù)工作可以發(fā)現(xiàn)系統(tǒng)內(nèi)部的安全隱患與不足之處,可通過(guò)安全整改提升系統(tǒng)的安全防護(hù)能力,降低被攻擊的風(fēng)險(xiǎn)。
簡(jiǎn)單來(lái)說(shuō),《網(wǎng)絡(luò)安全法》一直對(duì)網(wǎng)站、信息系統(tǒng)、APP有等級(jí)保護(hù)要求,中小型企業(yè)通常是行業(yè)要求才意識(shí)到問(wèn)題。
怎么做等級(jí)保護(hù)?
等級(jí)保護(hù)通常需要5個(gè)步驟:
1.定級(jí)(企業(yè)自主定級(jí)-專家評(píng)審-主管部門審核-公安機(jī)關(guān)審核)
2.備案(企業(yè)提交備案材料-公安機(jī)關(guān)審核-發(fā)放備案證明)
3.測(cè)評(píng)(等級(jí)測(cè)評(píng)-三級(jí)每年測(cè)評(píng)一次)
4.建設(shè)整改(安全建設(shè)-安全整改)
5.監(jiān)督檢查(公安機(jī)關(guān)每年監(jiān)督檢查)
一、企業(yè)自己做等級(jí)保護(hù)
1.在定級(jí)備案的步驟,一級(jí)不需要備案僅需企業(yè)自主定級(jí)。二級(jí)、三級(jí)是大部分普通企業(yè)的信息系統(tǒng)定級(jí)。四級(jí)、五級(jí)普通企業(yè)不會(huì)涉及,通常是與國(guó)家相關(guān)(如等保四級(jí)-涉及民生的,如鐵路、能源、電力等)的重要系統(tǒng)。根據(jù)地區(qū)不同備案文件修改遞交通常需要1個(gè)月左右的時(shí)間。
2.定級(jí)備案后,尋找本地區(qū)測(cè)評(píng)機(jī)構(gòu)進(jìn)行等級(jí)測(cè)評(píng)。
3.根據(jù)測(cè)評(píng)評(píng)分(GBT22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求。具體分?jǐn)?shù)需要測(cè)評(píng)后才能給出)對(duì)信息系統(tǒng)(APP)進(jìn)行安全整改,如果企業(yè)沒(méi)有專業(yè)的安全團(tuán)隊(duì),需要尋找安全公司進(jìn)行不同項(xiàng)目的整改。等級(jí)保護(hù)2.0三級(jí)有211項(xiàng)內(nèi)容,通常企業(yè)需要根據(jù)自身情況采購(gòu)安全產(chǎn)品完成整改。
4.進(jìn)行安全建設(shè)整改后,通過(guò)測(cè)評(píng)。當(dāng)?shù)毓矙C(jī)關(guān)會(huì)進(jìn)行監(jiān)督檢查包含定級(jí)備案測(cè)評(píng)、測(cè)評(píng)后抽查。
整個(gè)流程企業(yè)自行做等級(jí)保護(hù),順利的話3-4個(gè)月完成,如果不熟悉需要半年甚至更久。
優(yōu)勢(shì):與第三方企業(yè)對(duì)比幾乎沒(méi)有優(yōu)勢(shì)
劣勢(shì):時(shí)間長(zhǎng)、消耗人力成本高、技術(shù)人員不足還可能增加安全建設(shè)成本
二、尋找第三方機(jī)構(gòu)做等級(jí)保護(hù)
1.在定級(jí)備案步驟,有些等保機(jī)構(gòu)會(huì)提出指導(dǎo)性意見(jiàn)協(xié)助企業(yè)提交定級(jí)報(bào)告。
2.第三方等保機(jī)構(gòu)可以協(xié)助企業(yè)找到專業(yè)測(cè)評(píng)機(jī)構(gòu),測(cè)評(píng)機(jī)構(gòu)提出整改意見(jiàn),企業(yè)根據(jù)整改意見(jiàn)購(gòu)買安全產(chǎn)品,完成測(cè)評(píng)。
三、靈狐科技等級(jí)保護(hù)優(yōu)勢(shì)
1.在定級(jí)備案步驟,擁有豐富經(jīng)驗(yàn)熟悉多個(gè)區(qū)域備案流程,可以讓客戶最簡(jiǎn)便、最省心的完成定級(jí)備案工作。
2.靈狐科技協(xié)助企業(yè)完成測(cè)評(píng),發(fā)揮其最大優(yōu)勢(shì)——網(wǎng)絡(luò)安全公司,提供性價(jià)比最高的安全整改方案,為客戶省錢。
3.提供安全產(chǎn)品并提供安全服務(wù),如安全專家1對(duì)1實(shí)時(shí)響應(yīng)。
總的來(lái)說(shuō),等級(jí)保護(hù)的工作在大的企業(yè)如阿里云等網(wǎng)絡(luò)公司,有高達(dá)1000人以上的安全部門,中小企業(yè)一個(gè)安全團(tuán)隊(duì)的建立也需要多個(gè)專業(yè)人員,對(duì)安全設(shè)備定期維護(hù),對(duì)網(wǎng)絡(luò)安全實(shí)時(shí)監(jiān)測(cè)。所以對(duì)于中小企業(yè)來(lái)說(shuō),第三方安全網(wǎng)絡(luò)公司為信息系統(tǒng)提供安全服務(wù)是最優(yōu)的選擇。