新闻媒体

安百科技为了让用户,合作伙伴和投资者能够实时的了解公司的市场活动,发展趋势,以及整理出最新的行业动态,资讯。

 

 

 

 

  • 真诚
  • 务实
  • 创新
  • 服务
等级保护测评在网络安全界居于何种江湖地位?

信息系统安全等级保护是国家信息安全保障工作的基本制度、基本策略、基本方法。开展信息系统安全等级保护工作不仅是加强国家信息安全保障工作的重要内容,也是一项事关国家安全、社会稳定的政治任务。

1.png

Q:信息系统安全等级保护测评,在网络安全中居于何种江湖地位呢?


A:信息系统安全等级保护测评工作  是指测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对未涉及国家秘密的信息系统安全等级保护状况进行检测评估的活动。

公安机关等安全监管部门进行信息安全等级保护监督检查时,系统运营使用单位必须提交由具有等级测评资质的机构出具的等级测评报告。

2.png

2003年,中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》(27号文)中,已将信息安全等级保护作为国家信息安全保障工作的重中之重,明确要求我国信息安全保障工作实行等级保护制度,提出“抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”,要求各级党委、人民政府认真组织贯彻落实。《意见》中明确指出,信息化发展的不同阶段和不同的信息系统,有着不同的安全需求,必须从实际出发,综合平衡安全成本和风险,优化信息安全资源的配置,确保重点。


2007年6月发布的关于印发《信息安全等级保护管理办法》的通知(公通字[2007]43 号)规定了实施信息安全等级保护制度的原则、内容、职责分工、基本要求和实施计划,部署了实施信息安全等级保护工作的操作办法。


2016年11月7日第十二届全国人民代表大会常务委员会第二十四次会议通过《中华人民共和国网络安全法》,网络安全法第二十一条明确规定:国家实行网络安全等级保护制度。


网络安全法作为网络安全领域第一部基础性、框架性法律,除了在第二十一条中明确强调实行等保制度外,在其他条款中也多次提及。


第三十一条

国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。

国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。


第三十八条

关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。

在这两条中,网络安全法强调,关键基础设施单位应对其网络的安全性和可能存在的风险每年至少进行一次检测评估。并对关键基础设施的大致范围和运行安全做了大致说明。


第五十九条

网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。

关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。

系统等级保护测评的义务性,在网络安全法中有了明确,罚款程度也较为严重,对比进行等保测评的费用,真是得不偿失。对于这些受处罚的单位和个人来说,罚款是一方面;另一方面,形象及名誉也会产生极大的不良影响。


对于企业来说

实施信息安全等级保护测评能够有效地提高单位信息和信息系统安全建设的整体水平,有效控制企业信息安全建设成本;有利于明确国家、法人和其他组织、公民的信息安全责任,加强企业信息安全管理。


对于信息系统来说

通过等级保护测评可及时发现信息系统安全状况并制定方案进行整改,当信息系统完全达到安全保护能力要求时,信息系统就基本可做到“进不来、拿不走、改不了、看不懂、跑不了、可审计、打不垮”。


等级保护测评工作作为国家网络安全的基础性工作,担负着守护国家网络安全的边界重任。2017年6月1日起,网络安全法正式施行后,等级保护测评作为其中的重要内容,各单位对这项安全重任高度重视,并积极有效开展测评工作。


相关文章: