哪些单位需要做等级保护测评
等级保护2.0是什么?
《网络安全等级保护条例(征求意见稿)》(简称“等保条例”)是依据网络安全法第21条“国家实行网络安全等级保护制度”的要求制定的行政法规,其与等级保护2.0系列国家标准文件(简称“等级保护2.0系列标准”),均为确立网络安全等级保护制度的重要配套法规。
等级保护2.0带来新挑战
等保条例在网络安全法规定的网络运营者安全保护义务的基础上,对网络运营者针对不同安全保护等级网络的安全保护义务作了明确、细化的要求,这是等级保护2.0作为“条例”的新变化,既是公安部门的监管重点,也是网络运营者等保建设和测评的重点。
网络运营者应参照等级保护2.0相关标准的要求:
-
梳理出定级对象并合理确定其安全保护等级、安全责任单位和具体责任人;
-
开展网络定级备案、安全建设整改、等级测评和自查等工作;
-
落实相关管理和技术措施,履行安全保护义务
哪些行业需要进行等级保护测评?
政府机关:各大部委、各省级政府机关、各地市级政府机关、各事业单位等
金融行业:金融监管机构、各大银行、证券、保险公司等
电信行业:各大电信运营商、各省电信公司、各地市电信公司、各类电信服务商等
能源行业:电力公司、石油公司、烟草公司
企业单位:大中型企业、央企、上市公司等
其它有信息系统定级需求的行业与单位。
单位内部到底哪些系统需要做等级保护测评?
每个单位都有好多信息系统,大的原则是:确定为二级及以上的信息系统是需要做等保测评的。
那么单位内部哪些是二级及以上信息系统呢?
二级系统主要是以下系统:区县级重要的信息系统,地市级和省级的一般信息系统,这里的一般信息系统指的是不涉及敏感信息、重要信息的信息系统,这些系统都可以定为二级系统;
三级系统主要有以下系统:省级单位门户网站、地级市影响力比较大的单位门户网站、地级市及以上重要的业务网站需要定为三级;地市级及以上内部涉及到工作秘密、敏感信息、重要信息的办公系统,管理系统需要定到三级,跨省的用于生产、调度、管理、指挥等在省、市的分支系统需要定为三级,跨省联结的网络系统要定为三级(这个一般都是全国运营的专网系统)。
当然我们在系统定级的时候还是要结合系统的重要性去实际定级,切勿死板硬套,例如我们在某区一个系统里面存储了全区上百万的人口信息,住房信息等等敏感信息,这样的系统虽然是在区县,但是就得定到三级。
开展等级保护测评的益处?
于企业——实施信息安全等级保护测评能够有效地提高单位信息和信息系统安全建设的整体水平,有效控制企业信息安全建设成本;有利于明确国家、法人和其他组织、公民的信息安全责任,加强企业信息安全管理。
于信息系统——通过等级保护测评可及时发现信息系统安全状况并制定方案进行整改,当信息系统完全达到安全保护能力要求时,信息系统就基本可做到“进不来、拿不走、改不了、看不懂、跑不了、可审计、打不垮”。
总之,等保工作不能局限于一个定级备案工作,加紧开展测评及后续的安全整改,发现问题,解决问题才是根本所在。
哪些机构可以做等级保护测评?
做等级保护测评需要找符合规定要求的等级保护测评机构。 什么样的测评机构是符合要求的?测评机构找哪家?找安徽灵狐科技,只找符合规定要求的等级保护测评机构。