等保,信息安全等级保护,是对信息和信息载体按照重要性等级分级别进行保护的一种工作。网络安全等级保护制度是我国网络安全领域的基本国策、基本制度和基本方法,《网络安全法》出台后,网络等级保护进入2.0时代。2019年5月13日,网络安全等级保护制度2.0标准正式发布,将于2019年12月1日开始实施。
等保2.0标准在1.0标准的基础上,注重全方位主动防御、安全可信、动态感知和全面审计,实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联和工业控制信息系统等保护对象的全覆盖。
从实施需求角度分析,做等保的原因有以下三个
1.等级保护是国情所需《网络安全法》在第21条、第31条明确规定了网络运营者和关键信息基础设施运营者都应该按等级保护要求对系统进行安全保护,违法者予以警告,拒不整改者予以一万至十万元罚款,对IT相关负责人,予以五干至五万
罚款,出现重大事故时,可判三年以下有期徒刑!
批示要求:健全完善以保护国家关键信息基础设施安全为重点的网络安全等级保护制度。"**亲自担任信息化小组组长。
2.等级保护是企业所求随着网络时代的发展,单位信息化依赖程度越来越高,但大多数单位的信息系统建设重应用、轻安全,导致信息安全严重滞后于信息发展,安全隐患和风险越来越高,黑客入侵、业务欺诈、DDoS /CC攻击等网络安全事件层出不穷。
同时,互联网安全环境越来越恶劣,仅中国境内就有约150W灰产从业人员,黑产市场超过1000亿,已形成产业链。
3.等级保护是主管单位监管要求各主管单位的监管越来越严:
教育部办公厅印发《教育移动互联网应用程序备案管理办法》的通知;交通厅《网络平台道路货运经营服务指南》指出,网络货运运营者应当接入升级货运信息监测系统:国家卫生健康委员会发布通知,要求互联网医院必须落实三级等保;
除此之外,根据相关规定,没有按时按规落实等级保护工作的单位和负责人,还必须承担相应的法律责任,严重的还会获最高判刑!
等级保护工作的流程一般包括: 定级备案、差距分析、整改设计、整改实施、等级测评、安全运营。
1.确立定级系统并准备备案资料
2.将备案资料递交给公司注册地的公安网监部门进行备案
1.找权威测评机构根据系统所定级别的安全要求进行差距分析,并出具问题清单。
2.差距分析分为技术检测和管理检测,技术检测中分为设备检测、配置检测、渗透测试。
1.依据问题清单和等保相应级别安全要求进行整改方案设计
2.方案设计分为安全架构设计、补丁漏洞修复、管理制作完善
1.根据整改设计方案进行产品采购、安全配置部署、管理制度编辑
1.找权威测评机构进行等级保护验收测评,并出具测评报告
2.将测评报告递交至公安网监部门
1.三级以上系统每年进行一次测评工作
2.保持系统等级保护安全能力水平
3.接受公安网监不定期的安全检查
如果企业做等保,那么企业需要:
1.自主定级,同时将定级资料提交给所在地区的公安机关进行备案;
2.自己寻找测评机构进行测评,以及寻找整改机构进行整改,如有需要,还要自己采购合适的安全设备;
3.整改结束后,接受公安机关的监督检查。
4.针对数据安全防护设备需要规划确认数据备份方案,数据防护方案数据容灾方案,数据快速恢复方案,恢复速和恢复点.数据增长量,备份空间规划,数据备份速度,业务连续性\可靠性\可用性等问题: 由于很多企业属于第一次做等保不熟悉,又或是没有专业指导,导致整个等保工作做下来,往往需要花费几1月甚至一两年的时间,还要付出巨额的沟通成本和金钱成本
上海:上海市徐汇区虹桥路355号城开大厦4楼
苏州:吴中区苏蠡路59号蠡和大厦701室
昆山:昆山市庆丰西路479号1号楼2楼
无锡:无锡市滨湖区华邸国际大厦5楼
南通:南通市崇川区崇州达到60号紫琅科技城10A-608
常州:常州市天宁区恒生科技园29号501
Copyright © 江苏博敏网络科技有限公司 All rights reserved.
备案号:苏ICP备10054166号
苏公网安备32058302003559
