一、为什么要做等保?
从实施需求角度分析,做等保的原因有以下三个:
1、等级保护是国情所需
《网络安全法》在第21条、第31条明确规定了网络运营者和关键信息基础设施运营者都应该按等级保护要求对系统进行安全保护,违法者予以警告,拒不整改者予以一万至十万元罚款,对IT相关负责人,予以五千至五万罚款,出现重大事故时,可判三年以下有期徒刑!
批示要求:健全完善以保护国家关键信息基础设施安全为重点的网络安全等级保护制度。*亲自担任信息化小组组长。
2、等级保护是企业所求
随着网络时代的发展,单位信息化依赖程度越来越高,但大多数单位的信息系统建设重应用、轻安全,导致信息安全严重滞后于信息发展,安全隐患和风险越来越高,黑客入侵、业务欺诈、DDoS/CC攻击等网络安全事件层出不穷。
同时,互联网安全环境越来越恶劣,仅中国境内就有约150W灰产从业人员,黑产市场超过1000亿,已形成产业链。
3、等级保护是主管单位监管要求
各主管单位的监管越来越严:
教育部办公厅印发《教育移动互联网应用程序备案管理办法》的通知;
交通厅《网络平台道路货运经营服务指南》指出,网络货运运营者应当接入升级货运信息监测系统;国家卫生健康委员会发布通知,要求互联网医院必须落实三级等保;
除此之外,根据相关规定,没有按时按规落实等级保护工作的单位和负责人,还必须承担相应的法律责任,严重的还会获最高判刑!
二、如何做等保?
等级保护工作的流程一般包括:定级备案、差距分析、整改设计、整改实施、等级测评、安全运营。
定级备案:1、确定定级系统并准备备案资料;
2、将备案资料递交给公司注册地的公安网监部门进行备案。
差距分析:1、找权威测评机构根据系统所定级别的安全要求进行差距分析,并出具问题清单;
2、差距分析分为技术检测和管理检测,技术检测中分为设备检测、配置检测、渗透测试。
整改设计:1、依据问题清单和等保相应级别安全要求进行整改方案设计;
2、方案设计分为安全架构设计、安全配置设计、补丁漏洞修复、管理制度完善。
整改实施:1、根据整改设计方案进行产品采购、安全配置部署、管理制度编辑。
等级测评:1、找权威测评机构进行登记保护验收测评,并出具测评报告;
2、将测评报告递交至公安网监部门。
安全运营:1、三级以上系统每年进行一次测评工作;
2、保持系统等级保护安全能力水平;
3、接受公安网监不定期的安全检查。
三、如果企业做等保,那么企业需要:
1、自主定级,同时将定级资料提交给所在地区的公安机关进行备案;
2、自己寻找测评机构进行测评,以及寻找整改机构进行整改,如有需要,还要自己采购合适的安全设备;
3、整改结束后,接受公安机关的监督检查;
4、针对数据安全防护设备需要规划确认数据备份方案,数据防护方案,数据容灾方案,数据快速恢复方案,恢复速度和恢复点,数据增长量,备份空间规划,数据备份速度,业务连续性\可靠性\可用性等问题。
由于很多企业属于第一次做等保不熟悉,又或是没有专业指导,导致整个等保工作做下来,往往需要花费几个月甚至一两年的时间,还要付出巨额的沟通成本和金钱成本。
天津联才科技发展有限公司是一家为企业提供互联网系统技术方案和网站建设服务的企业。公司创立于2015年,主要为政府、国企、国内上市公司、国外公司提供专业的品牌服务和技术开发服务。
自2015年成立以来,我们一直在帮助企业实现具有影响力的、行业特定的品牌、官网及软件系统解决方案。我们为企业提供从需求分析、功能规划、交互设计、原型设计、系统运维的整体软件开发技术解决方案。 联才科技始终关注有前景的软件开发集成框架和培养经验丰富的技术开发团队,为我们的客户提供优异的互联网解决方案。