有很多人都不做等级保护,也有人做,那为什么要一定去做等级保护呢?下面给企业介绍一下什么要一定去做等级保护!
1.等级保护是国家信息安全的基本制度
随着我国信息技术的快速发展,为维护国家安全和社会稳定,维护信息网络安全,国务院于1994年颁布了《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)。条例中规定:我国的“计算机信息系统实行安全等级保护。
2003年中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确指出“实行信息安全等级保护”。
2007年公安部会同国家保密局、国家密码管理局和国务院信息化工作办公室下发《信息安全等级保护管理办法》(公通字[2007]43号)明确规定“定期对信息系统安全等级状况开展等级测评”。“第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评……”。并制定了包括《计算机信息系统安全保护等级划分准则》(GB17859-1999)、《信息系统安全等级保护定级指南》、《信息系统安全等级保护基本要求》等50多个国家标准和行业标准,形成了信息安全等级保护标准体系。
2012年,CSDN网站因未落实国家信息安全等级保护制度,造成了大量用户信息泄露的严重后果。依据《中华人民共和国计算机信息系统安全保护条例》,北京市公安局对CSDN网站运营公司做出行政警告处罚。可见,开展等级保护工作是企业义不容辞的信息安全义务。
2.各行业或监管部门落实信息安全等级保护工作的具体工作
随着国家相关机关不断出台等级保护规范标准,各行业或监管部门迅速发文响应并落实行业内信息系统安全等级保护工作。例如,卫生部2011年印发(卫办发[2011]85号)《卫生行业信息安全等级保护工作的指导意见》的通知,明确卫生行业信息系统实行“定级备案、建设与整改、等级测评”工作。
中国人民银行2012年制定了《金融行业信息安全等级保护测评服务安全指引》、《金融行业信息信息系统信息安全等级保护测评指南》和《金融行业信息系统信息安全等级保护实施指引》,2013年制定了《征信机构管理办法》(中国人民银行令[2013]第1号),明确和规范金融机构开展的信息系统安全等级保护测评工作。教育部2014年发布《教育部关于加强教育行业网络与信息安全工作的指导意见》(教技[2014]4号)明确规定“各单位信息系统要按照教育行业有关规范准确定级和备案”,“按照国际和教育行业有关标准规范要求进行等级测评”。还有财政部、人力资源社会保障、交通运输行业、电力行业等监管部门或行业都发布相应文件明确落实信息系统安全等级保护工作,建立、健全信息安全管理制度,落实安全保护技术措施,全面贯彻落实信息安全等级保护制度。
3.等级保护测评的工作内容
为了达到各级的安全保护能力要求,国家等级保护基本安全要求提出了技术要求和管理要求两大类,涵盖了物理(机房)、网络、主机、应用、数据安全、安全管理制度、安全管理机构、人员、系统建设、系统运维十个方面的内容。
信息系统安全等级保护测评(简称“等级保护测评”)包括系统定级、系统备案、安全建设整改、等级保护测评、定期安全检查五个阶段。
等级保护测评是指信息系统运营、使用单位委托具有等级保护测评资质的测评机构对其建设的已定级的信息系统进行等级保护测评过程,测评机构在测评过程中采用访谈、检查和测试三大类的测评方法,具体细分为人员访谈、文档审查、配置核查、现场观测和工具测试等五个小类,对信息系统进行安全
测评和风险评估,验证信息系统是否满足相应安全保护等级要求,并形成信息安全等级保护测评报告。
公安机关等安全监管部门进行信息安全等级保护监督检查时,系统运营、使用单位必须提交由具有等级测评资质的机构出具的等级测评报告。