某政府用户:按照要求过了等级保护测评,网络安全是不是没什么问题了?
•某高校用户:为了不违法,为了过等保,我们加了很多安全设备,现在运维忙死了。过等保这么复杂吗?
•某医院用户:医院系统这么多,还经常变更,是不是每个系统都要做等保测评?到底怎么做才能不会收到“罚单”,能否指条明路?
等级保护基本要求
什么是等级保护?简单点讲就是通过某些手段让企业系统系统包含软件及硬件更安全,符合国家法律法规的要求。
不同的安保等级系统安全要求也是不同的,根据实现方式,我们可以分为两大类来看,看图。
哪些信息系统需要做等保测评?
众所周知,信息系统分为五级,一到五级逐级增高。原则上,定级为二级及以上的信息系统都是需要做等保测评的。
一般情况我们最常见的就是二级和三级,四级五级的比较少见。
区县的系统基本都是二级;省级单位门户网站,地级市重要行业的门户网站是三级;涉及到工作秘密、敏感信息的系统,信息泄露出去或者被非法篡改会引起民众恐慌、社会秩序混乱、破坏国家安全的系统都要定到三级;地级市及省级单位其他不涉及敏感信息、重要信息的一般系统定到二级。
等级保护工作具体步骤是怎样的?
测评周期有什么要求?
信息安全等级保护管理办法(公通字[2007]43号)中要求:“第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。”
鉴于大量用户实践和主管单位的指导,二级系统两年做一次测评。
单位有好多系统,是不是每个系统都要定级?
官方的回答:理论上所有的信息系统都需要及时进行定级备案。
但是我们都知道,所有系统都定级备案动辄需要几百万的费用,显然是不现实的,那要怎么把握呢?
等级保护测评后的最终结论分为哪几种?
如果你的测评分数达到100分,先别高兴,这家测评机构一定是没有负责任的测评。因为安全不是做算术题这样绝对,另一方面等保的一些条款要求确实很难达到,初次做等保测评,分数在64-75之间就非常不错了!(可以把心放肚子里了,罚单已离你远去)
为了顺利开展等保测评工作,信息系统运维人员需要具备什么技能?
单位相关工作人员了解定级备案、运维、管理、维护等方面的知识,对于顺利开展等保测评工作是非常有帮助的。因为企业自查、初步定级以及等保测评的顺利开展都需要专业的人。尽管不太全面(等保测评需要使用漏扫设备等检测设备进行),但在管理制度方面是没有问题的。
