为什么要做等级保护 哪些信息系统需要做等级保护
作者:天磊咨询
发表日期:2020-12-16
来源:天磊咨询
在中国,信息安全水平维护广泛,与该业务相关的标准、产品、系统、信息内容等全部都是等级保护理论下的安全工作。往小的来讲上一般指信息系统(APP)安全级别的维护。
信息安全等级保护:
对信息系统分类的安全可靠维护和监督
信息安全产品应用的分层管理
对信息安全事件实行等级对应、处置。
等级保护如何划分不同等级?
将全国信息系统(包括互联网)根据信息系统的业务信息内容和系统服务进行毁坏后,对侵权对象的侵权程度分为5个安全级别(从1级增加到5级)。
为什么要等级保护?
1.法令规定,《网络安全法》经营、应用信息系统的单位必须按照网络安全等级保护体系的规定实行安全可靠责任,假如杜绝实行,将遭受相应的处罚。
第21条:国家实行网络安全等级保护体系。网络运营商应根据网络安全级别维护系统的规定,实行下列安全可靠责任,维护网络免受影响、毁坏或没经授权访问,防范数据泄露、窃取、篡改。
2.行业规定金融、电力、光电、医疗、教育等行业,主管机关明确规定从事单位的信息系统(APP)实施等级保护工作。
3.企业系统安全需求信息系统运行、应用单位根据实行等级保护任务,可以发现系统内部的安全风险和缺点,根据安全可靠修改,可以提高系统的安全可靠维护能力,降低攻击风险。
简而言之,《网络安全法》始终对网站、信息系统和APP有等级保护规定,中小型企业通常以行业规定意识到问题。
怎么做等级保护?
等级保护通常必须五个阶段。
1.等级(企业自律等级-专家审查-主管部门审查-公安机关审查)
2。备案记录(企业提交文件资料-公安机关审查-签发文件证明)
3。评价(等级测评-3级每年测评一次)
4。建设整顿(安全建设-安全整改)
5.监督检查(公安机关每年监督检查)
等级测评的流程:
差距测评阶段又分为以下内容:测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动,整改阶段、验收测评阶段。
企业自行进行等级保护
1.在规定等级的阶段,一级不需要记录,只必须企业自律的等级。二级、三级是大部分普通企业的信息系统等级。4级、5级一般企业不参与,一般是涉及国家的重要系统(例如,4级保障-涉及民生的铁路、能源、电力等)。根据地区的不同,提交文件修改通常必须一个月左右。
2.分级后,到本地区评价机关进行等级评价。
3.评测分数(基于GBT22239-2019信息安全技术应用网络安全水平维护的基本规定。具体分数要在评价后提出)安全可靠整顿信息系统(APP),假如企业没有专门的安全可靠精英团队,就要找安全可靠公司整顿其他项目。等级保护2.0三级有211个内容,一般来说,企业必须根据自己的情况购买安全产品,完成维修。
4.安全可靠建设整顿后根据评价。当地公安机关实施监督检查,包括等级记录评估、评估后提取检查。
整个过程企业自行进行等级保护,顺利的话,3~4个月内完成。不熟悉的话必须半年以上。
优点:与第三方平台企业相比,优点和缺点几乎没有。必须很长时间,人力成本高,技术人员不足会增加安全可靠建设成本。
第二,寻找第三方安全保护机构做等级保护。
1.在等级记录阶段,一些等单位提出指导意见,帮助企业提交等级报告。
2.第三方平台等保险机构可以帮助企业找到专业评价单位,评价单位提出纠正意见,企业可以根据纠正意见购买安全产品完成评价。
总的来说,等级保护工作在大型企业、阿里云等互联网公司拥有多达1000人以上的安全部门,中小型企业的一个安全可靠精英团队的设立也必须多名专家,对安全设备进行定期维护,对网络安全进行实时监控系统。所以,针对中小型企业来讲,第三方平台安全可靠网络公司向信息系统提供安全服务是最好的选择。
收藏
取消收藏
400-668-6638