为什么要做等级保护?
1. 法律法规要求
《网络安全法》明确规定信息系统运营、使用单位应当按照网络安全等级保护制度要求,履行安全保护义务,如果拒不履行,将会受到相应处罚。
第二十一条:国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
第五十九条:网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
《刑法》第二百八十六条:不履行信息网络安全管理义务罪。造成违法信息大量传播、用户信息泄漏,造成严重后果的。处三年以下有期徒刑、拘役或者管制,并处或者单处罚金。
2. 行业要求
在金融、电力、广电、医疗、教育等行业,主管单位明确要求从业机构的信息系统(APP)要开展等级保护工作。
3. 企业系统安全的需求
信息系统运营、使用单位通过开展等级保护工作可以发现系统内部的安全隐患与不足之处,可通过安全整改提升系统的安全防护能力,降低被攻击的风险。
简单来说,《网络安全法》一直对网站、信息系统、APP有等级保护要求,中小型企业通常是行业要求才意识到问题。
没有及时开展,主管机关会进行怎样的处罚
主要测评些什么
测评机构依据国家网络安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统、平台或基础信息网络等定级对象安全等级保护状况进行检测评估。测评包含技术和管理2大层面:
技术层面,包含安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心;
管理层面,包含安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。
多久评测一次
定级为三级及以上的系统,每年至少开展一次等保测评;定级为二级的系统,建议每两年开展一次。部分行业按所在行业的要求落实测评。
测评整改要求和时限
统经测评未达到安全保护要求的,要根据测评报告中的改进建议,制定整改方案并进一步整改。建议在当年度完成整改。常见的整改项有:
1、送检单位或送检系统的安全管理制度不完善或缺失;2、漏洞补丁类、安全策略调整类、安全加固类、网络结构调整类等;3、安全防护设备缺失或不完善,要补齐。如云上开启管控权限的堡垒机、使用防止攻击的Web应用防火墙等。
哪些行业需要办理等级保护?
如:线上教育,医疗,物流等........在我看来未来只要是跟互联网相关的行业都需要做等级保护