经常听到等保,然后还有什么政策法规什么的,刚开始都会一脸懵逼,what?
有三点我们需要思考一下。
1、等保是什么?
2、为什么要做等保
3、怎么做到等保?
一、疑问——等保是什么?
等保到底是什么?
保护,对,就是保护。
全名叫做信息安全等级保护,顾名思义就是指根据信息系统在国家安全、社会稳定、经济秩序和公共利益方便的中重要程度以及风险威胁、安全需求、安全成本等因素,将其划分不同的安全保护等级并采取相应等级的安全保护技术、管理措施、以保障信息系统安全和信息安全。
可能有点绕,总结下就是:保护互联网数据的一种标准方法体系,里面规定了方方面面。
你是不是想问,我要是做到了,我的网络就会固若金山吗?
No,No,No,当然不能这样说啊。等级保护只是尽可能的做到了理论方法上的安全,还有其它因素在干扰。但是,做好等保以后,你完全可以当做“安全”了。
二、疑问——为什么要做等保?
1、降低信息安全风险,提高信息系统的安全防护能力;
2、满足国家相关法律法规和制度的要求;
3、满足相关主管单位和行业要求;
4、合理地规避或降低风险。
要加大对维护国家安全所需的物质、技术、装备、人才、法律、机制等保障方面的能力建设,更好适应国家安全工作需要。
三、怎么做到等保?
如果要解决这个问题,那么首先我们需要了解和等保相关的几个点。
00001. 等保具体包括什么内容?等保分为几个级别?什么群体/行业需要开展等保?既然要做到等保,那么肯定需要测评,都测什么呢?有周期吗?
搞清楚上面几个问题,那么怎么做到等保心里大概就有点分寸了。
解答1:等保具体包括什么内容
(1)定级
邀请几个网络安全专家,根据信息安全等级保护定级相关指南结合企业信息系统进行评估定级,并出具定级专家意见。
(2)备案
通过备案工具填写完整系统表单,然后将全部材料一起送到所在地市公安局网安支队进行备案,这个过程正常需要十个工作日完成。
(3)安全建设整改
根据客户的实际情况进行差距分析,针对不符合的项目以及行业特征进行整改。
(4)信息安全等级测评
信息系统安全等级测评是验证信息系统是否满足相应安全保护等级的评估过程。
说人话就是,给客户打分,评分的。
(5)信息安全检查
根据客户需要配合完成的自查工作,按照规章制度的要求落实完成自查流程。
解答2:等保分为几个级别?
解答3:什么群体/行业需要开展等保?
(1)政府机关:电子政务网络;
(2)金融行业:监管机构,银行,保险公司等;
(3)电信行业:各大运营商;
(4)能源行业:电力(比如xxx电网),石油等;
(5)互联网单位:各大企业,上市公司等;
解答4:测试相关内容,周期多长?
从内容上面来看,具体分为两大块:
(1)管理层面
安全策略和管理制度、安全管理机构和人员、安全建设管理、安全运维管理。
(2)技术层面
物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全。
按照政策要求三级信息系统每年至少需要开展一次测评;二级信息系统一般建议每两年开展一次测评,但是部分行业明确要求每两年开展一次测评。
一个二级或三级的系统现场测评周期一般一周左右,具体时间还要根据信息系统数量及信息系统的规模,有所增减。小规模安全整改2-3周,出具报告时间一周,整体持续周期1-2个月。如果整改不及时或牵涉到购买设备,时间不好说,但总的要求一年内要完成
