网络安全等级保护制度是我国网络安全领域的基本国策、基本制度和基本方法。
1994年国务院颁布《中华人民共和国计算机信息系统安全保护条例》,该条例规定计算机信息系统实行安全等级保护,拉开了迄今为止长达26年的等级保护工作的帷幕。
伴随网络安全与信息技术的飞速发展,2017年6月1日,《中华人民共和国网络安全法》正式颁布实施,等级保护工作上升到法律层面。
《网络安全法》第二十一条明确规定,国家实施网络安全等级保护制度;第二十五条要求,网络运营者应当制定网络安全事件应急预案;第三十一条要求,关键基础设施,在网络安全等级保护制度的基础上,实行重点保护;第五十九条规定的网络安全保护义务的,由有关主管部门给予处罚。因此,不开展等级保护等于违法。
按照谁主管谁负责、谁运营谁负责、谁使用谁负责的原则,网络运营者作为等级保护的责任主体,如何快速高效地通过等级保护测评成为企业开展业务前必须思考的问题。
一般来说,等保测评的实施过程包含以下内容:系统定级-系统备案-系统整改-等级测评-监督检查。
第一步,系统定级
信息系统运营适用的单位要按照《信息安全等级保护管理办法》和《网络安全等级保护定级指南》,初步确定定级保护对象的保护等级,起草《网络安全等级保护定级报告》。
第二步,系统备案
信息系统安全保护等级为第二级以上时,备案时需提交《网络安全等级保护备案表》、定级报告、专家评审意见、系统拓扑说明、安全管理制度、安全建设方案等。
第三步,系统整改
按照《网络安全等级保护基本要求》,利用自有或第三方的安全产品和专家服务进行系统整改,同时制定相应的安全管理制度。
第四步,等级测评
信息系统建设整改完成后,运营使用单位应当选择合适的测评机构,依据《网络安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。
第五步,监督检查
公安机关及其他监管部门会在整个过程中,履行相应的监管、审核和检查等职责。注意:公安机关的检查是随时的。正常情况下三级一年一次,二级两年一次。
做好等保测评工作,选择一家资质好、专业性强的测评机构至关重要。