做检测的时候,有人问:这个标准是必须的吗?不做会怎么样?
这个问题要看清楚。标准和法规不是一回事。一个是技术要求,一个是法律要求。分清这个,才知道哪些必须做,哪些建议做。
法规层面:必须做的
等保2.0(《网络安全等级保护管理办法》)是法规要求。关键信息基础设施运营者的系统、政府公共服务系统、国有企业核心业务系统,不做等保测评是违规。
《网络安全法》《数据安全法》《个人信息保护法》是法律。涉及关键信息基础设施的,违反有罚则。
行业监管部门发的规定,比如电力的调度数据网安全防护规定、石化的安全生产要求,对行业内单位是刚性约束。
这些不做,不是技术问题,是监管风险。
标准层面:技术参照,分强制和推荐
国家标准GB有强制性标准,也有推荐性标准。GB代号开头的是推荐性,GB/T开头的是推荐性的多,强制性的少。具体的要看标准前言,有没有写"本标准的全部技术内容为强制性"。
行业标准同理。有的行业规范是强制,有的是推荐。
国际标准如IEC 61508、IEC 62443本身不是法规。但这些标准被国内法规引用或转化为国家标准后,就有了约束力。比如IEC 61508转化成的国内功能安全标准、IEC 62443的部分内容被GB/T 33130引用,这些就变成实际检测依据。
推荐性标准要不要做
推荐性标准不是说"可做可不做"。
很多推荐性标准是行业通行做法。不做,技术上可能没问题,但出了事故定责的时候,会用这些标准来衡量你是否尽到合理注意义务。
合同里有约定、招标文件有要求、监管检查时提到某个标准——这时候推荐性标准就变成了事实上的必须达标。
检测机构出的报告里,推荐性标准测试结论也有价值。它不是法律效力的问题,是技术证明的问题。
怎么判断必须做哪些
第一步看系统是否属于关键信息基础设施或等保覆盖范围。属于的,等保2.0必须做。
第二步看行业监管规定。电力、石化、供水、轨交,各自行业有专项要求,对应的规定是刚性的。
第三步看合同和招标文件。项目验收标准、甲方技术要求里提到的标准,不管强制还是推荐都要满足。
第四步看系统安全等级。功能安全相关系统,SIL等级对应的测试是技术必须。不做,系统不能通过安全评审。
我们有CMA资质认定、CNAS实验室认可。
工控软件功能测试 · 功能安全SIL验证 · 等保2.0工业系统测评 · OT网络渗透测试 · 安全评估报告 · 整改咨询
有需要直接留言,说清楚产品类型和需求,我们一个工作日内出方案。
优网科技秉承"专业团队、品质服务" 的经营理念,诚信务实的服务了近万家客户,成为众多世界500强、集团和上市公司的长期合作伙伴!
优网科技成立于2001年,擅长网站建设、网站与各类业务系统深度整合,致力于提供完善的企业互联网解决方案。优网科技提供PC端网站建设(品牌展示型、官方门户型、营销商务型、电子商务型、信息门户型、微信小程序定制开发、移动端应用(手机站、APP开发)、微信定制开发(微信官网、微信商城、企业微信)等一系列互联网应用服务。
公安局备案号:
专属顾问
