什么是等级保护工作?系统测评周期是怎样的?. 2018-03-01
网络安全等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
几个关键词:
1、信息系统,不是整个单位,而是按照不同系统来进行防护的;
2、分等级进行防护和管理,理清重要系统和非重要系统,对重要的系统进行重点管理,不是所有系统都是一样的防护。
那么等级保护测评就是有资质的测评机构对非涉密的信息系统按照不同等级要求对这些系统进行安全测评,出具相应的信息系统测评报告。你的测评必须是有测评资质的机构,否则你找安全厂家或者集成商或者其他人做的安全测评,不是等级保护测评,至多只能叫做安全测试,你的测评结果公安部门是不认可的,所以如果你想做等级保护测评,务必找有资质的测评机构去做。
测评周期的要求:信息安全等级保护管理办法(公通字[2007]43号)中要求:“第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。”这就是我们说的三级系统每年必须要做一次测评,那么二级系统呢,我们翻阅了大量资料后没有找到关于二级系统明确的时间要求,从等保的定义和等保工作流程上,可以知道:定级备案是第一和第二步,测评、整改和监督检查是后续动作,所以说只有你定级了,就得去做等保测评,二级系统原则上是可以自测评的,但是实际情况下我们发现绝大多数用户单位是没有这个能力去测评的,所以还是得委托测评机构进行测评,那么二级系统第一次定级备案后是一定需要去做等保测评工作的,后续经过大量用户实践和主管单位的指导,我们正常是二级系统两年左右做一次测评,为什么是两年呢?一、系统相对三级没那么重要,所以时间上相对长点;二、系统相对没有定级的系统更重要些,且往往有些二级系统也非常重要,存储了大量重要的信息数据(其实本来是定三级的,种种原因定了二级),不去做测评,风险太大。另外一些行业明确规定二级系统测评周期是两年,如电力行业。据说相关部门也在制定新的政策,新政策中也是明确二级系统的测评周期是两年。
最后网腾科技建议大家,系统定级备案后,测评及后续工作正常开展起来,你不做测评、不做等保就是网络安全义务没有履行到位,对应着网络安全法都有相关处罚的。四川违反网络安全法第一案已经很好地给我们上了一课,应该没人想成为自己省份因不做等保而违法的第一案吧?
网腾科技:信息安全服务专家