必看干货|等保测评(网络安全等级保护)五问五答

企业内哪些系统需要做等保?

根据《信息安全技术 网络安全等级保护定级指南》等相关标准的规定,针对于备案单位而言,以下内容都属于实施等保的对象:

(1)起支撑、传输作用的信息网络(包括专网、内网、外网、网管系统),如某汽车局域网信息系统,某IDC机房等保三级业务系统;

(2)用于生产、调度、管理、作业、指挥、办公等目的的各类业务系统,要按照不同业务类别单独实施等保,不以系统是否进行数据交换、是否独享设备为必要条件。如企业内部的OA系统、人力资源管理系统以及ERP系统,某法院智能信息审判系统,某医院的信息化系统,某水电厂监控系统;

(3)各单位网站、邮件系统要作为独立的等保对象。如果网站的后台数据库管理系统安全级别较高,以及网上运行的信息系统,都要作为独立的等保对象。如企业内部/对外网站系统、某银行征信中心网站系统,12306火车票售票网站等;

(4)云平台、大数据、工业控制系统、物联网、移动互联网、卫星系统等,都属于等保对象的范围。

不实施等保2.0会有哪些法律后果?

根据《信息安全技术 网络安全等级保护定级指南》等相关标准的规定,针对于备案单位而言,以下内容都属于实施等保的对象:

(1)起支撑、传输作用的信息网络(包括专网、内网、外网、网管系统),如某汽车局域网信息系统,某IDC机房等保三级业务系统;

(2)用于生产、调度、管理、作业、指挥、办公等目的的各类业务系统,要按照不同业务类别单独实施等保,不以系统是否进行数据交换、是否独享设备为必要条件。如企业内部的OA系统、人力资源管理系统以及ERP系统,某法院智能信息审判系统,某医院的信息化系统,某水电厂监控系统;

(3)各单位网站、邮件系统要作为独立的等保对象。如果网站的后台数据库管理系统安全级别较高,以及网上运行的信息系统,都要作为独立的等保对象。如企业内部/对外网站系统、某银行征信中心网站系统,12306火车票售票网站等;

(4)云平台、大数据、工业控制系统、物联网、移动互联网、卫星系统等,都属于等保对象的范围。

等保测评是否做一次就可以?

等保工作是一个持续的工作,等保测评也是一个周期性的工作,三级系统要求每年做一次,四级系统每半年做一次,二级系统部分行业明确要求每两年做一次,没有明确要求的行业建议大家两年做一次测评。

做等保测评不应当抱着应付的心态去做,如果大家的系统真能按照等级保护的要求去做好,那么系统的安全防护水平还是很高的。做了等保,一方面是合规,更多的是切切实实协助我们做好单位的网络安全工作。

网络安全技术发展日新月异的今天,既然我们不能百分百保证系统的安全,那我们就从合规做起,把我们能做的工作及时做到位。该做的工作做到了,自然也就相对安全了。

单位的系统已经上云或者系统托管到其他地方,是否需要做等保?

系统上云的情况越来越多,不论是公有云(阿里云、腾讯云、亚马逊云等)还是各类私有云(政务云、内部云平台等)或者就是直接托管到IDC机房,一些备案单位认为既然系统已经不在自己的机房,那么系统的相应安全运维就不归自己管了,自然等保工作就无限延后。

而实际上,根据"谁运营谁负责,谁使用谁负责,谁主管谁负责"的原则,该系统责任主体还是属于网络运营者自己,所以还是得承担相应的网络安全责任,该进行系统定级的还是得定级,该做等保的还是得做等保。

因为,系统上云或托管后,并不是安全责任主体转移,只是系统所在机房地址的变更,当然在公有云模式下,Iaas、Paas、Saas不同模式相应的安全责任会有些区别,但是并不是没有责任。

第三方咨询机构能为备案单位提供哪些帮助?

专业律所、技术公司等第三方咨询机构,可以在等保对象梳理、定级、备案、网络安全建设等阶段,为备案单位提供全方位的协助,具体如下:

(1)等保对象梳理

工作内容:梳理备案单位现有网络系统,确定定级对象,制定等保工作计划。

参与方:专业律所、技术公司等咨询机构。

(2)定级

工作内容:确定各定级对象的网络安全等级,组织专家评审并报请主管部门核准。

参与方:专业律所、技术公司等咨询机构/评审专家、主管部门。

(3)备案

工作内容:填写定级备案表,准备定级报告等保安材料,提交至当地公安机关网安部门。

参与方:专业律所、技术公司等咨询机构、公安机关。

(4)网络安全建设

工作内容:依据等保要求,制定网络安全建设或整改计划,建设符合等保要求的信息安全设施,安全管理组织和管理体系。

参与方:专业律所、技术公司等咨询机构。

(5)等保测评

工作内容:协助邀请并配合等级测评机构对等保对象进行测评。

参与方:测评机构、公安机关、专业律所、技术公司等咨询机构。

(6)安全运维

工作内容:定期开展安全自查工作,网络发生重大变化时,变更网络安全保护等级,配合公安机关的监督检查工作。

参与方:专业律所、技术公司等咨询机构、公安机关。

相关推荐
独行soc2 小时前
#渗透测试#漏洞挖掘#红蓝攻防#护网#sql注入介绍06-基于子查询的SQL注入(Subquery-Based SQL Injection)
数据库·sql·安全·web安全·漏洞挖掘·hw
独行soc3 小时前
#渗透测试#漏洞挖掘#红蓝攻防#护网#sql注入介绍08-基于时间延迟的SQL注入(Time-Based SQL Injection)
数据库·sql·安全·渗透测试·漏洞挖掘
Clockwiseee4 小时前
php伪协议
windows·安全·web安全·网络安全
黑客Ash5 小时前
安全算法基础(一)
算法·安全
云云3215 小时前
搭建云手机平台的技术要求?
服务器·线性代数·安全·智能手机·矩阵
云云3215 小时前
云手机有哪些用途?云手机选择推荐
服务器·线性代数·安全·智能手机·矩阵
xcLeigh5 小时前
网络安全 | 防火墙的工作原理及配置指南
安全·web安全
白乐天_n6 小时前
腾讯游戏安全移动赛题Tencent2016A
安全·游戏
安全小王子7 小时前
Kali操作系统简单介绍
网络·web安全
光路科技7 小时前
八大网络安全策略:如何防范物联网(IoT)设备带来的安全风险
物联网·安全·web安全