企业做等级保护是必需的吗?
《信息安全等级保护定级指南》规定,只要符合以下三个特征,就必须进行等级保护备案。如果符合以下三个特征,并且安全保护等级是二级及以上,还必须通过等级保护测评,网站也不例外。等级保护定级对象的三大基本特征:①具有确定的主要安全责任主体;②承载相对独立的业务应用;③包含相互关联的多个资源。(推荐:等保测评定级的收费标准)咨询等保测评,联系木准科技,电话:18300003210。
那么,如果网站符合以上三个特征,且信息系统为二级及以上,要怎么做等级保护呢!网站信息系统安全等级保护办理步骤解读来啦!
1.网站系统定级
根据等级保护相关管理文件,等级保护对象的安全保护等级一共分五个级别,从一到五级别逐渐升高。等级保护对象的级别由两个定级要素决定:①受侵害的客体;②对客体的侵害程度。对于关键信息基础设施,“定级原则上不低于三级”,且第三级及以上信息系统每年或每半年就要进行一次测评。
等级保护定级流程
2.网站系统备案
根据《网络安全法》规定:
①已运营(运行)的第二级以上信息系统,应当在安全保护等级确定后30日内(等保2.0相关标准已将备案时限修改为10日内),由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
②新建第二级以上信息系统,应当在投入运行后30日内(等保2.0相关标准已将备案时限修改为10日内),由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
③隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部办理备案手续。
④跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,应当向当地设区的市级以上公安机关备案。
企业最终确定网站的级别以后,就可以到公安机关进行备案。备案所需材料主要是《信息安全等级保护备案表》,不同级别的信息系统需要的备案材料有所差异。第三级以上信息系统需提供以下材料:
等级保护备案材料
3.网站系统安全建设(整改)
等级保护整改是等保建设的其中一个环节,指按照等级保护建设要求,对信息和信息系统进行的网络安全升级,包括技术层面整改和管理层面整改。整改的最终目的就是为了提高企业信息系统的安全防护能力,让企业可以成功通过等级测评。
等级保护整改没有什么资质要求,只要公司可以按照等级保护要求来进行相关网络安全建设,由谁来实施,是没有要求的。但由于目前企业网络安全人才紧缺,企业很多时候都需要寻找专业的网络安全服务公司来进行整改。现在企业对信息安全越来越重视,大家或多或少都听说过做等级保护这个事。那么做等级保护是不是每个企业必须要做的呢?答案是:不是必需的。既然不是必需的那为什么那么多企业还是要做等级保护呢?
主要有如下几点原因:
01
如果不做等级保护,出了信息安全事故,除了公司自身的经济损失之外,还将面临公安部的责令停业整顿和经济处罚。到这个时候做等级保护也将变成了必需要做的一件事。所以你说等级保护不是必需做的,其实他也可以说是必需做的一件事。不做等级保护隐患太大,毕竟业务停业整顿不是每个公司都能承受的。做了等级保护如果再出现信息安全事故,至少公安部这边好解释,同时处罚也不会这么重了。以下为网络安全法的几条相关规定和处罚措施:
《中华人民共和国网络安全法》(以下简称《网络安全法》)于2017年6月1日正式实施
第二十一条:国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行安全保护的义务。保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
第二十五条:网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。
第五十九条规定:网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五元以上五万元以下罚款。
第七十六条定义了网络运营者是指网络的所有者、管理者和网络服务提供者。
《网络安全法》第六章规定的14种惩罚手段:约谈,断网,勒令改正,警告,罚款,暂停相关业务,停业整顿,关闭网站,吊销相关业务许可证,吊销营业执照,拘留,职业禁入,民事责任,刑事责任。
总而言之,等保2.0实施后,不开展等级保护等于违反《网络安全法》,可以根据法律法规进行处罚。
02
做等级保护不光是为了应对公安部门的检查,对企业自身的安全也是很有帮助的。有些公司在迅猛发展过程中往往只看重业务而忽视了安全问题,不仅没有安全团队,对代码和数据的保护都没有任何措施。可能运维人员知道这个问题的严重性,但由于管理人员的角度不同往往会忽略这个问题的严重性。所以运维人员可以利用做等级保护这个契机把公司的安全隐患给消除掉。
通常人们会抱有侥幸的心理,认为自己公司这么多年不做等保不搞信息安全也没啥事,还能省一笔费用。那我要告诉你这样做万一造成了信息安全事故可能造成的经济损失将会远远超过你不做等保不搞信息安全省下来的费用。这里我举几个2020年发生的重大信息安全事故的例子给大家看一下:
1. 浙江一家银行泄漏客户信息被罚30万
4月,有媒体报道,浙江岱山农商银行、浙江民泰商业银行有内部人员违规泄露客户信息。其中,浙江岱山农商银行被银保监会罚款30万,泄露信息的内部员工被禁业三年。南都记者注意到,类似泄露客户个人信息案件的“内鬼”多来自运营商、银行、物流等掌握大量个人信息的行业。在“净网2018”、“净网2019”、“净网2020”专项行动中,公安机关在侵犯公民个人信息案件中抓获各行业“内鬼”3000余名。
2. 国泰航空泄漏940万乘客资料,被罚500万港币
航空圈讯 英国资讯委员会办公室(ICO)当地时间3月4日公布消息说,对国泰航空有限公司(Cathay Pacific Airways Limited)罚款50万英镑(约450万元人民币或者500万元港币),原因是该公司未能保护客户个人数据的安全。ICO称,2014年10月至2018年5月期间,国泰航空的计算机系统缺乏适当的安全措施,导致客户的个人信息被泄露,其中111578人来自英国,而全球约940万人。
类似上面的信息安全事故每年都有发生,很大一部分原因就是这些企业对安全不够重视造成的。
整改主要分为管理整改和技术整改。管理整改主要包括:明确主管领导和责任部门,落实安全岗位和人员,对安全管理现状进行分析,确定安全管理策略,制定安全管理制度等。其中,安全管理策略和制度又包括人员安全管理事件处置、应急响应、日常运行维护设备、介质管理安全监测等。
技术整改主要是指企业部署和购买能够满足等保要求的产品,比如网页防篡改、流量监测、网络入侵监测产品等。
4.网站系统等级测评
等级测评指经公安部认证的具有资质的测评机构,依据国家信息安全等级保护规范规定,受有关单位委托,按照有关管理规范和技术标准,对信息系统安全等级保护状况进行检测评估的活动。物联网企业等级测评需要寻找合适的测评机构来进行测评,测评机构至少需要具备《信息安全等级测评推荐证书》。物联网企业可以登录中国网络安全等级保护网查看国家推荐的有资质的测评机构名单。
测评机构收费方面,具体的服务费用会因为省市不同、测评项目不同、行业不同等而有所差异。但一般来说,二级系统测评费用4万元起步,三级系统测评费用7万元起步。
根据规定,对信息系统安全等级保护状况进行的测试应包括两个方面的内容:一是安全控制测评,主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况;二是系统整体测评,主要测评分析信息系统的整体安全性。其中,安全控制测评是信息系统整体安全测评的基础。
5.监督检查
企业要接受公安机关不定期的监督和检查,对公安机关提出的问题予以改进。
