用戶單位為什么要做等保測評
大白話談?wù)劄槭裁匆龅缺y評
其實(shí)很多用戶單位不明白到底應(yīng)該不應(yīng)該做網(wǎng)絡(luò)安全等級保護(hù)測評,今天我們就簡單的來說說吧。
首先下面的幾個原因先看下:
第一, 網(wǎng)絡(luò)安全等級保護(hù)測評是為了發(fā)現(xiàn)用戶單位系統(tǒng)內(nèi)、外部存在的安全網(wǎng)險和脆弱性,通過整改后,提高信息系統(tǒng)的信息安全防護(hù)能力,降低系統(tǒng)被各種攻擊的風(fēng)險。一般用戶單位內(nèi)部系統(tǒng)較多,用途不一樣,受眾群體和使用用戶也不一樣,那我們就需要通過等級保護(hù)測評去梳理分析我們現(xiàn)有的信息系統(tǒng),將不同系統(tǒng)分不同重要等級進(jìn)行分等級保護(hù),這就是等保測評的定級工作。
第二, 等級保護(hù)是我國關(guān)于信息安全的基礎(chǔ)政策,《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》(中辦發(fā)[2003]27號,以下簡稱“27號文件”)明確要求我國信息安全保障工作實(shí)行等級保護(hù)制度提出“抓緊建立信息安全等級保護(hù)制度,制定信息安全等級保護(hù)的管理辦法和技術(shù)指南”。2007年6月發(fā)布的關(guān)于印發(fā)《信息安全等級保護(hù)管理辦法》的通知(公通字[2007]43號,以下簡稱“43號文件”)規(guī)定了實(shí)施信息安全等級保護(hù)工作的操作辦法。
2016年11月7日第十二屆全國人民代表大會常務(wù)委員會第二十四次會議通過《中華人民共和國網(wǎng)絡(luò)安全法》,網(wǎng)絡(luò)安全法第二十一條明確規(guī)定:國家實(shí)行網(wǎng)絡(luò)安全等級保護(hù)制度。網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護(hù)制度的要求,履行下列安全保護(hù)義務(wù),保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問,防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。
簡單總結(jié)下就是國家法律法規(guī)、相關(guān)政策制度要求我們?nèi)フ归_等級保護(hù)級測評工作,不做就不合規(guī),就違法。
第三, 很多行業(yè)主管單位要求行業(yè)客戶開展等級保護(hù)工作,目前已經(jīng)下發(fā)行業(yè)要求文件的有:金融、電力、廣電、醫(yī)療、教育、物流等行業(yè),還有一些主管單位發(fā)過相關(guān)文件或通知要求去做。另外信息安全主管單位要求我們?nèi)ラ_展等級保護(hù)工作,主要有:公安、網(wǎng)信辦、經(jīng)信委、通管局等行業(yè)主管單位。
所以不做等保的話,沒法向相關(guān)主管單位和行業(yè)領(lǐng)導(dǎo)們交待。
第四, 合理地規(guī)避風(fēng)險。每年都會出現(xiàn)一些大的信息安全事件,我們?nèi)粘=?jīng)常聽到或看到的有,某某網(wǎng)站網(wǎng)頁被篡改了,用戶敏感信息被泄露了,更多的一些小范圍安全事件我們清楚,但是在發(fā)生。那么發(fā)生比較大的安全事件,首先主管的單位們要去現(xiàn)場調(diào)查,首先就會看我們到底有沒有開展等級保護(hù)工作,那么如果你沒有,最直接的一個結(jié)論就是你的信息安全工作沒有開展好,沒有開展到位,國家最基本的信息安全等級保護(hù)工作都沒做,你說你買了很多防火墻,很多安全設(shè)備,那都是說不清道不明的,不如你實(shí)實(shí)在在拿出備案證明,拿出測評報告說服力強(qiáng)。出了問題難免就會被通報批評,被勒令下線整改,那么開展了等級保護(hù)測評工作和沒有開展等級保護(hù)測評工作被通報的內(nèi)容就顯然不同了,即“有證駕駛和無證駕駛”的區(qū)別。最簡單的例子:一個主觀上重視安全工作但是因?yàn)榧夹g(shù)還不夠好而被攻擊造成的破壞和一個主觀上都不重視安全工作被攻擊造成破壞的情況,孰輕孰重,一目了然。但是怎么叫主觀上重視呢?等保測評工作有沒有開展就是衡量的一個重要標(biāo)準(zhǔn),因?yàn)榈燃壉Wo(hù)測評是國家基本信息安全制度要求。
原因分析了,那等保測評的意義也就有了:
一、 降低信息安全風(fēng)險,提高信息系統(tǒng)的安全防護(hù)能力(實(shí)質(zhì));
二、 滿足國家相關(guān)法律法規(guī)和制度的要求(合規(guī));
三、 滿足相關(guān)主管單位和行業(yè)要求(合規(guī));
四、 合理地規(guī)避或降低風(fēng)險(備案證明)。
習(xí)主席多次強(qiáng)調(diào):要加大對維護(hù)國家安全所需的物質(zhì)、技術(shù)、裝備、人才、法律、機(jī)制等保障方面能力建設(shè),更好適應(yīng)國家安全工作需要。意見在國家安全工作上要加大投入,那網(wǎng)絡(luò)安全是國家安全的一部分,也是應(yīng)當(dāng)加大投入的。等級保護(hù)測評又是國家信息安全的基本制度,下次我們再申請等級保護(hù)工作經(jīng)費(fèi),領(lǐng)導(dǎo)不批,就直接把這篇文章發(fā)給他好了:自己看,別說我沒告訴你,出了事,可不是我的責(zé)任哦。
最后等級保護(hù)測評已經(jīng)成了一個必須硬性標(biāo)準(zhǔn)了,而且網(wǎng)絡(luò)安全法也在不斷完善,如果用戶單位有實(shí)力能早做等保測試的盡量早早就開始做。