等保2.0正式施行 定级与备案工作要怎么做?
陈拾九移动支付网2019/12/12 10:02:32

12月1日,网络安全等级保护制度2.0标准(以下简称“等保2.0”)正式施行,依据《网络安全法》第二十一条:网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。

因此,网络运营者需按照等保2.0要求实施网络安全等级保护,并进行与之相关的全流程工作,分别是:定级、备案、总体规划、设计与实施、运行与维护以及终止。其中定级和备案是等保实施的开始也是基础。

定级与备案过程

等级保护制度当中等级是非常重要的,等保2.0与等保1.0类似,按照重要程度由低到高将信息系统分为5个等级,等级不同施行不同标准的保护标准并进行备案。对于企业来说定级与备案是十分重要的步骤,便于企业明确自己应当施行的保护标准,假如不明确等级,施行保护标准低于定级会陷入违法的境地,实行保护标准高于定级则会浪费成本。

定级与备案流程分为定级、对象分析、等级确定以及备案四个步骤,涉及到等保实施中所有角色,包括运营单位、网络安全企业、主管部门、网信办、网络安全测评机构、网络安全服务机构以及公安机关。

首先,行业主管部门和网络安全服务机构确定本行业等保等级,完成行业/领域定级工作;第二步,运营单位和网络安全服务机构根据所在行业、业务范围、产品作用等情况完成等保对象重要性分析,并经过专家评审;第三步,主管部门对等保对象、定级进行审核、批准,以确定等保对象数量、等级;最后,根据等保管理部门要求办理备案手续,报公安机关进行备案审查,完成全部定级、备案工作。

在这里需要注意的是,除了一级等保不需要定级、备案其余等级都需要申报定级、进行备案,其中第三级等保是国家对非银行机构的最高级认证,属于“监管级别”,由国家信息安全监管部门进行监督、检查,是目前金融支付机构、企业需要达到的等级。

测评存在于等保实施所有环节中

在等保实施过程中测评是很重要环节,其主要作用是检测评估定级对象安全等级是否符合相应等级基本要求,是落实等保的重要手段。单位需要树立一个观念:测评不是一个单独存在的环节,不是通过一次就可以高枕无忧,只要施行等保,测评就会一直存在。

能够进行测评的机构必须具有相应的资质,在测评时要取得运营、使用单位的委托或者等保管理部门的授权。运营、使用单位通过登记测评进行现状分析,确定系统安全保护现状和存在问题,并以此确定系统的整改需求。

在等保的定级、建设和运维过程中都需要进行测评工作、获得测评报告。根据规定实施第三级等保的等保对象需要每年进行一次测评,测评报告是开展整改加固的重要依据,也是第三级以上定级对象备案的重要附件材料,由此可见,测评在等保过程中的重要性。

有人将等保实施过程称为测评整改再测评再整改直至通过测评的过程。第三级等保认证需要测评内容涵盖等级保护安全技术要求5个层面和安全管理要求的5个层面,主要包含信息保护、安全审计、通信保密等在内的近300项要求,共涉及测评分类73类,具体要求可以参照《信息安全技术网络安全等级保护测评要求》,而测评过程可以参照《信息安全技术网络安全等级保护测评过程指南》。

等级测评过程

需要注意的是,企业内网信息系统、上云或者托管在其他地方的系统也需要进行测评,根据“谁运营谁负责,谁使用谁负责,谁主管谁负责”的原则,系统责任主体仍然还是属于网络运营者,因此不可大意。

等保只是开始

目前全国网络安全等级保护测评机构推荐目录共包含189家机构,需要注意的是,等保测评不是安全认证,没有认证证书,测评报告和备案证明只能证明该信息系统符合等级保护的安全要求,满足国家法律法规的合规需求。

做到了等保只是保证网络安全、信息安全的基本要求,基本保证系统可以平稳运行,也就是“底线”,并不是说做到了等保在安全上就可以高枕无忧,也不是说做到了等保在发生风险事故时就可以规避法律制裁。

满足等保需求只是做到了网络安全、数据安全的第一步,也仅仅是合规的开始,随着其他法规办法的出台,合规要求必然会越来越严格。

本文为作者授权发布,不代表移动支付网立场,转载请注明作者及来源,未按照规范转载者,移动支付网保留追究相应责任的权利。

展开全文
相关阅读
资讯查询取消