近日,证监会发布2项金融行业等保标准,将等保2.0再次带回大众的视线。虽然等保迈入2.0时代已经两年有余,可是对于不少信创从业者来说,这个词仍然十分陌生,自己所在的公司可能也并未开展相关工作。那么,等保2.0到底是什么?什么样的公司必须开展相关工作,如果不做又会面临怎样的严厉处罚呢?
信创产业梳理了关于等保2.0,你必须知道的10件事,帮助大家有针对性地进行现阶段的等保合规建设,让我们一起来看看:
Q1:什么是等保?
答:等保就是等级保护的简称,是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息,和存储、传输、处理这些信息的信息系统,分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置的我国网络安全的基本制度。
Q2:什么是等保2.0?
答:“等保2.0”是“等级保护2.0”的缩写,属于业内约定俗成的说法,指的是按照2019年起施行的《信息安全技术网络安全等级保护基本要求》开展工作的统称。
Q3:等保是否强制?可以不做吗?
答:等级保护工作是保障我国网络安全的基本动作,更是《中华人民共和国网络安全法》规定的,网络运营者应当履行的义务。其中的网络运营者,包括网络的所有者、管理者和网络服务提供者。
各单位都需要按照所在行业及保护对象重要程度,依据《中华人民共和国网络安全法》及相关部门的要求,按照“同步规划、同步建设、同步使用”的原则,开展等级保护工作。对于应依法履行义务但拒不履行的,公司或单位将被罚款1万元-100万元;相关主管人员个人将被罚款5000元-10万元。
Q4:哪些企业和单位应该开展等保工作?
答:根据相关法律法规,凡是在中国境内运营的政府机关、企事业单位、社会组织等,使用基础信息网络、云计算平台/系统、大数据应用/平台/资源、物联网、工业控制系统和采用移动互联技术的系统等,都需要开展等保工作。
Q5:业务系统在内网、专网或者云上,还需要做等保吗?
答:需要。内网与专网的非涉密系统都属于等级保护范畴,虽然内/专网相对于互联网,业务系统的用户比较明确或可控,但并不代表绝对安全。
而业务上云有多种情况,比如公有云、私有云、专有云等不同属性的云,或采用IaaS、PaaS、SaaS、IDC托管等不同服务。虽然安全责任的边界发生了变化,但安全责任不会消失。根据“谁运营谁负责、谁使用谁负责、谁主管谁负责”的原则,云租户与云平台服务商之间应遵循责任分担的模式,也就是说云平台承担的是云平台的安全责任,部署在云平台上的系统或数据的所有者,承担的是该系统或数据的安全责任。
Q6:开展等保,成本会不会很高呢?
答:开展等级保护,成本主要包括这几部分:规划费用、建设或整改费用、运维费用、测评费用等,具体费用因各单位现状、保护对象承载业务功能、重要程度、所在地区、所在行业等,差异较大。因此为避免过度保护或疏于防范的情况,减少资源浪费等,建议聘请专业的等级保护服务机构,制定科学合理的方案。
Q7:什么是等保测评?
答:是否达到了合规的等级保护标准,需要由经过认定的专业第三方测评机构,依据国家信息安全等级保护相关制度规定,并且按照有关管理规范和技术标准,进行检测和评估。这个检测和评估的过程,就叫做等级保护测评。
那么,等级保护测评需要间隔多久做一次呢?第三级以上网络的运营者应当每年开展一次网络安全等级测评。二级信息系统建议每两年开展一次测评,部分行业是明确要求每两年开展一次测评。
我们需要避免的一个误区是,等级保护工作绝不等同于只做一个测评,而是包括定级、备案、安全建设/整改、测评、主管/监管单位定期监督检查等一系列工作。测评只是其中一项,而且它绝不是等保工作的结束,而是通过测评查漏补缺,不断改进企业提升安全防护能力,帮助等保工作降低风险。
Q8:怎样才算通过了等保测评?
答:等保2.0测评结果包括得分与结论评价;得分为百分制,及格线为75分;结论评价分为优、良、中、差四个等级。
Q9:怎么证明开展过等保工作?
答:测评工作完成后,会收到加盖测评机构公章和测评专用章的测评报告,具有法律效力;同时配合在属地网安备案后获得的《信息系统安全等级保护备案证明》,这才算完成了等级保护的备案与测评机制的整体要求。
Q10:做完测评、拿到备案,是不是就高枕无忧了?
答:很多人认为,像走流程一样完成了测评、拿到备案,就高枕无忧了。其实,不然。安全是一个动态而非静止的过程,不是通过一次测评,或者一段时期的工作,就可以一劳永逸的。
企业通过落实等保安全要求,并严格执行各项安全管理的规章制度,基本能做到系统的安全稳定运行。但依然不能百分百保证系统的安全性。因此,要不断地提升认知,持续保证等级保护测评工作的开展,切实建立“实战化、体系化、常态化”和“动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控”的“三化六防”体系,才能不断提升网络攻防能力,长效保障网络安全。
扫描下方二维码,可下载《GBT22239-2019信息安全技术网络安全等级保护基本要求》pdf文件。
优网科技秉承"专业团队、品质服务" 的经营理念,诚信务实的服务了近万家客户,成为众多世界500强、集团和上市公司的长期合作伙伴!
优网科技成立于2001年,擅长网站建设、网站与各类业务系统深度整合,致力于提供完善的企业互联网解决方案。优网科技提供PC端网站建设(品牌展示型、官方门户型、营销商务型、电子商务型、信息门户型、微信小程序定制开发、移动端应用(手机站、APP开发)、微信定制开发(微信官网、微信商城、企业微信)等一系列互联网应用服务。
公安局备案号:
专属顾问
