“大白话说等保”力求用最简单通俗的用语帮助企业、用户快速了解等保建设中的相关问题。
01 什么是等级保护?
等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作。信息系统运营、使用单位应当选择经公安部认证具有资质的网络安全等级保护测评机构,依据《信息安全技术网络安全等级保护基本要求》等相关技术标准,定期对信息系统网络安全状况进行检测评估。2019年12月1日,(gb/t 22239—2019代替 gb/t 22239-2008)原有标准正式实施,进入了等保2.0时代。
02 为什么要做等保?
1.从法律要求层面来说,《网络安全法》明确规定,信息系统运营、使用单位如果不开展等保工作就等同于违法,要受到相关处罚。
2.从实际业务安全要求方面,开展等保建设能够提升运营单位系统的安全防护能力,降低被攻击的风险
03 等保要做什么?
《网络安全法》第二十一条:国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
1. 制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
2. 采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
3. 采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
4. 采取数据分类、重要数据备份和加密等措施;
5. 法律、行政法规规定的其他义务。
关于等保具体的定级分级以及具体工作如何开展可以参考江民科技公众号《等保分保傻傻分不清?干货来啦~》
04 那哪些行业企业需要做等保测评呢?
目前监管比较严格,不做等保不让运营的行业有金融、医疗、教育、快递、酒店、物联网行业、软件开发、能源行业、通信行业、交通行业、征信行业、政府机关 、工业数据安全、云计算等。
具体如下:
一、政府机关:各大部委、各省级政府机关、各地市级政府机关、各事业单位等;
二、金融行业:金融监管机构、各大银行、证券、保险公司等,不做等保不允许经营,监管最严;
三、医疗行业:医院、疾病控制中心、计划生育机构、医疗卫生研究机构等,各大医院系统必须做等保,互联网医疗要想上线取得线上诊疗资质,必须过等保;
四、教育行业:高校、职校、普教等,211,985大学必须做等保,互联网 教育如学生管理系统、学校网站等重要系统必须做等保;
五、电信行业:各大电信运营商、各省电信公司、各地市电信公司、各类电信服务商等,应上级主管部门要求必须做等保;
六、能源行业:电力公司、石油公司等,应上级主管部门要求必须做等保;
七、交通行业:应上级主管部门要求必须做等保;
八、企业单位:大中型企业、央企、上市公司等,等保和负责人的绩效考核挂钩。
九、其他有信息系统定级需求的行业与单位。
未落实网络安全责任处罚案例
案例一 泸州某医院不履行网络安全保护义务案
简要案情:2021年6月,泸州某医院遭受网络攻击,造成全院系统瘫痪。泸州公安机关迅速调集技术力量赶赴现场,指导相关单位开展事件调查和应急处置工作。经调查发现,该医院未制定内部安全管理制度和操作流程,未确定网络安全负责人,未采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施,导致被黑客攻击造成系统瘫痪。泸州公安机关根据《中华人民共和国网络安全法》第二十一条和五十九条之规定,对该院处以责令改正并警告的行政处罚。
案例二 广安某单位不履行网络保护义务案
简要案情:2021年2月,广安某单位所使用的智慧政务一体化平台被黑客攻击植入木马病毒,导致系统文件被加密勒索,广安公安机关立即以破坏计算机信息系统立案侦查。通过一案双查发现,该单位未制定内部安全管理制度和操作规程,未采取防范计算机病毒的技术措施,未对重要数据备份和加密,未履行网络安全保护义务。广安公安机关根据《中华人民共和国网络安全法》第二十一条和第五十九条之规定,对该单位作出罚款一万元、对单位具体责任人赵某作出罚款五千元的行政处罚。
案例三 凉山某单位未履行安全保护义务案
简要案情:近日,凉山公安机关接到报案称,辖区某学校 60余名学生中考志愿被他人篡改。经连夜侦查发现,系因某单位网站密码安全等级低,存在网络漏洞,被一升学无望心生报复的不法分子恶意攻击篡改。凉山公安机关根据《中华人民共和国网络安全法》第六十四条之规定,对该单位作出行政警告处罚,并责令限期整改。
下一期“大白话”将会为大家分享《企业过等保需要用到哪些安全设备》