A. 網路安全法第38條明確要求關鍵信息基礎設施運營者應至少多久進行一次等級保護
關鍵信息基礎設施的運營者應當自行或者委託網路安全服務機構對其網路的安全性和可能存在的風險每年至少進行一次檢測評估,並將檢測評估情況和改進措施報送相關負責關鍵信息基礎設施安全保護工作的部門。
《中華人民共和國網路安全法》第三十八條關鍵信息基礎設施的運營者應當自行或者委託網路安全服務機構對其網路的安全性和可能存在的風險每年至少進行一次檢測評估,並將檢測評估情況和改進措施報送相關負責關鍵信息基礎設施安全保護工作的部門。
第三十九條國家網信部門應當統籌協調有關部門對關鍵信息基礎設施的安全保護採取下列措施:
(一)對關鍵信息基礎設施的安全風險進行抽查檢測,提出改進措施,必要時可以委託網路安全服務機構對網路存在的安全風險進行檢測評估;
(二)定期組織關鍵信息基礎設施的運營者進行網路安全應急演練,提高應對網路安全事件的水平和協同配合能力;
(三)促進有關部門、關鍵信息基礎設施的運營者以及有關研究機構、網路安全服務機構等之間的網路安全信息共享;
(四)對網路安全事件的應急處置與網路功能的恢復等,提供技術支持和協助。
說起「等保」,相信網路安全從業者對這個詞非常熟悉;但對非從業者而言,「等保」這個詞就變得十分陌生。那麼等保到底是什麼?為什麼要做等保?怎麼做等保?所謂等保只是個縮寫,它的全稱是信息安全等級保護,接下來我們一起來看看詳細的內容介紹。
等保到底是什麼?
等保,全稱叫做信息安全等級保護,顧名思義就是指根據信息系統在國家安全、社會穩定、經濟秩序和公共利益方便的中重要程度以及風險威脅、安全需求、安全成本等因素,將其劃分為不同的安全保護等級並採取相應等級的安全保護技術、管理措施、以保障信息系統安全和信息安全。
總結來講,等保就是保護互聯網數據的一種標准方法體系,裡面規定了方方面面。
為什麼要做等保?
①降低信息安全風險,提高信息系統的安全防護能力。
②滿足國家相關法律法規和制度的要求。
③滿足相關主管單位和行業要求。
④合理地規避或降低風險。
怎麼做等保?
一、等保具體包括什麼內容?
①定級:邀請幾個網路安全專家,根據信息安全等級保護定級相關指南結合企業信息系統進行評估定級,並出具定級專家意見。衫族
②備案:通過備案工具填寫完整系統表單,然後將全部材料一起送到所在地市公安局網安支隊進行備案,這個過程正常需要十個工作日完成。
③安全建設整改:根據客戶的實際情況進行差距分析,針對不符合的項目以及行業特徵進行整改。
④信息安全等級測評:信息系統安全等級測評是驗證信息系統是否滿足相應安全保護等級的評估過程。
⑤信息或磨弊安全檢查:根據客戶需要配合完成的自查工作,按照規章制度的要求落實完成自查流程。
二、等保分為幾個級別?
第一級:自主保護級,不需要測評
第二級:指導保護級,建議2年一游陪次
第三級:監督保護級,每年至少一次
第四級:強制保護級,半年一次
第五級:專控保護級,涉密、超越等保范疇
三、什麼群體/行業需要開展等保?
①政府機關:電子政務網路。
②金融行業:監管機構、銀行、保險公司等。
③電信行業:各大運營商。
④能源行業:電力、石油等。
⑤互聯網單位:各大企業、上市公司等。
四、等級保護測評流程,周期多長?
從內容上來看,具體分為兩大塊:管理層面和技術層面
①管理層面:安全策略和管理制度、安全管理機構和人員、安全建設管理、安全運維管理。
②技術層面:物理和環境安全、網路和通信安全、設備和計算安全、應用和數據安全。
按照政策要求三級信息系統每年至少需要開展一次測評;二級信息系統一般建議每兩年開展一次測評,但是部分行業明確要求每兩年開展一次測評。
一個二級或三級的系統現場測評周期一般一周左右,具體時間還要根據信息系統數量及信息系統的規模,有所增減。小規模安全整改2-3周,出具報告時間一周,整體持續周期1-2個月,也可能受到其他因素影響,但總的要求一年內要完成。
C. 請問等保三級多久測評一次時間長嗎
四級信息系統要求每半年至少開展一次測評;三級信息系統要求每年至少開展一次測評;二級信息系統一般每兩年開展一次測評,時間上沒有強制要求,部分行業有行業標准要求,如電力行業明確二級系統兩年做一次測評。
以北京市為例,等保備案准備階段,若雙方配合度高,材料編制與專家評審會的准備為10個工作日左右;等保備案材料提交准備的時間在3個工作日左右;等保測評的開展需35個工作日左右,最後提交測評報告以及審核階段,在網安接受材料後,以網安下發實際備案證明時間為准。值得注意的是:在全過程中,需要企業進行安全建設整改,具體時間以各企業實際情況為准。
想要快速完成等保測評全流程有五大關鍵要素,在此分享給廣大網路運營者參考。即優選測評機構、系統合理定級、准備工作充分、及時跟進流程、關鍵路徑並進。
01 優選測評機構
選擇測評機構時應盡量選取企業所在地的測評機構,綜合考慮其公司資質與技術能力,如測評公司具有的資質、各等級測評師人員數量、在市場中的口碑、被測評企業所屬行業的測評案例等。同時明確提出本次測評的工期要求與項目預算,並採取邀請招標或公開招標的方式選擇最優的測評機構。例如北京市選擇中國信息安全測評中心、北京時代新威等有《網路安全等級保護測評機構推薦證書》的專業測評機構。
02 系統合理定級
系統定級是等保測評的第一步,無論是在建系統或已建系統,合理定級是關鍵,應參照「定級過低不允許、定級過高不可取」的原則來定級。定級完成後需由安全專家與業務專家共同對定級報告中涉及的系統業務描述、業務網路拓撲、業務受影響的風險分析進行專家評審並形成書面專家評審意見。最後定級報告與專家評審意見需上傳到公安網警的等級保護備案系統中。
03 准備工作充分
做好大量的准備工作是快速完成等保測評的先決條件。從業務系統的全生命周期角度來看,需要具備項目立項、需求說明、實施方案、驗收標准、人員組織、管理制度等過程環節資料。特別是網路安全方面,需要有網路安全的設計方案、建設實施方案、安全策略及安全檢測規范、安全運營管理制度及安全建設運營過程文檔(如漏洞掃描報告、滲透測試報告、代碼審計報告、應急預案與演練記錄、人員培訓記錄等)。針對規模大或重要性要求高的業務系統其建設設計方案、安全保障方案需要聘請外部專家進行專家評審並形成書面專家評審意見。
04 及時跟進流程
企業在公共信息網路安全綜合管理系統填報前應授權一位負責人,並由其跟進後續備案資料收集與文檔掃描、系統填寫與資料上傳,同時關注審核反饋信息及時提交補充資料和修訂資料。及時關注審核結果、獲取備案證明及線下提交測評報告。此過程中,遇到問題應及時反饋給上級領導,並協調資源推進等級保護備案流程。
05 關鍵路徑並進
加快項目進度一般可採取加班與並行趕工的方式,但前提是需要一名優秀的項目經理來分解項目實施步驟,識別並規劃關鍵實施路徑,把控管理項目實施過程風險。等級保護測評過程主要可並行的環節有商務洽談與技術實施、系統建設與安全檢測、系統測評與整改復測。
D. 等級保護測評服務三級,多久做一次
三級等保現在是每年做一次測評。
等級保護備案分為五個級別:
① 第一級,等級保護對象受到破壞後,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益;
② 第二級,等級保護對象受到破壞後,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全;
③ 第三級,等級保護對象受到破壞後,會對公民、法人和其他組織的合法權益產生特別嚴重損害,或者對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害;
④ 第四級,等級保護對象受到破壞後,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害;
⑤ 第五級,等級保護對象受到破壞後,會對國家安全造成特別嚴重損害。
辦理等級保護備案的流程是:
一步:定級;(定級是等級保護的首要環節)
二步:備案;(備案是等級保護的核心)
三步:建設整改;(建設整改是等級保護工作落實的關鍵)
四步:等級測評;(等級測評是評價安全保護狀況的方法)
五步:監督檢查。(監督檢查是保護能力不斷提高的保障)
證書案例