等保测评认证是什么?应该怎样去做?
来源:本站
作者:中联信科
日期:2021-10-27 16:14:56
浏览:
1516
一、等保是什么?
等保,信息安全等级保护,是对信息和信息载体按照重要性等级分级别进行保护的一种工作。网络安全等级保护制度是我国网络安全领域的基本国策、基本制度和基本方法,《网络安全法》出台后,网络等级保护进入2.0时代。2019年5月13日,网络安全等级保护制度2.0标准正式发布,将于2019年12月1日开始实施。
等保2.0标准在1.0标准的基础上,注重全方位主动防御、安全可信、动态感知和全面审计,实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联和工业控制信息系统等保护对象的全覆盖。
二、为什么要做等保?
从实施需求角度分析,做等保的原因有以下三个:
①等级保护是国情所需
《网络安全法》在第21条、第31条明确规定了网络运营者和关键信息基础设施运营者都应该按等级保护要求对系统进行安全保护,违法者予以警告,拒不整改者予以一万至十万元罚款,对IT相关负责人,予以五千至五万罚款,出现重大事故时,可判三年以下有期徒刑!
习近平总书记等中央领导批示要求:健全完善以保护国家关键信息基础设施安全为重点的网络安全等级保护制度。总书记亲自担任信息化小组组长。
②等级保护是企业所求
随着网络时代的发展,单位信息化依赖程度越来越高,但大多数单位的信息系统建设重应用、轻安全,导致信息安全严重滞后于信息发展,安全隐患和风险越来越高,黑客入侵、业务欺诈、DDoS / CC攻击等网络安全事件层出不穷。
同时,互联网安全环境越来越恶劣,仅中国境内就有约150W灰产从业人员,黑产市场超过1000亿,已形成产业链。
③等级保护是主管单位监管要求
各主管单位的监管越来越严:
教育部办公厅印发《教育移动互联网应用程序备案管理办法》的通知;
交通厅《网络平台道路货运经营服务指南》指出,网络货运运营者应当接入升级货运信息监测系统;
国家卫生健康委员会发布通知,要求互联网医院必须落实三级等保;
……
除此之外,根据相关规定,没有按时按规落实等级保护工作的单位和负责人,还必须承担相应的法律责任,严重的还会获最高判刑!
三、如何做等保?
等级保护工作的流程一般包括:定级备案、差距分析、整改设计、整改实施、等级测评、安全运营。
如果企业选择自己做等保,那么企业需要:
①自主定级,同时将定级资料提交给所在地区的公安机关进行备案;
②自己寻找测评机构进行测评,以及寻找整改机构进行整改,如有需要,还要自己采购合适的安全设备;
③整改结束后,接受公安机关的监督检查。
由于很多企业属于第一次做等保不熟悉,又或是没有专业指导,导致整个等保工作做下来,往往需要花费几个月甚至一两年的时间,还要付出巨额的沟通成本和金钱成本。
如果企业选择中联的一站式等保测评整改解决方案:
从定级备案到测评通过并成功拿证,中联能将等保项目周期缩短至少60%的时间,最快情况下,企业一个月就可拿证。