許多企業一直認為:
公司拿到備案證就可以了。
這其實是錯誤的,等級保護是對信息和信息載體按照重要性等級分級別進行保護的一種工作,備案只是其中一步,等級保護一共包括了如下流程:
第一步:系統定級。對業務、資產、安全技術和安全管理進行調研,確定定級系統,準備定級報告,提供協助定級服務,輔助用戶完成定級報告,組織專家評審。
第二步:系統備案。持定級報告和備案表到當地公安網監進行備案,全云在線提供備案指引服務、輔導用戶準備材料、完成備案。
第三步:建設整改。參照定級要求和標準,對信息系統整改加固,全云在線可以輔導用戶進行系統的安全加固,協助用戶建設安全管理體系,提供符合等保合規需求的安全產品。
第四步:等級測評。測評機構對信息系統等級測評,形成測評報告,全云在線提供等保測評服務,提供阿里云平臺的合規資質證明,輔導用戶測評整改,整改后,測評機構對系統等級符合性狀況進行測評,出具測評報告。
第五步:合規監督檢查。向當地公安網監提交測評報告,用戶配合完成檢查,全云在線將協助客戶檢查和整改,最后,公安機關監督檢查進行等級保護工作。
一、等保備案和等保測評有什么區別?
關于等保備案和等保測評的區別,首先我們要知道它們各自的概念。
什么是等保備案呢?
網絡安全等級保護備案工作包括信息系統備案、受理、審核和備案信息管理等工作。
根據《信息安全等級保護管理辦法》,信息系統安全保護等級為第二級以上的信息系統運營使用單位或主管部門,應當在安全保護等級確定后 30 日內,到當地公安機關網監部門辦理備案手續。新建第二級以上信息系統,應當在投入運行后 30 日內,由其運營、使用單位到當地公安機關網監部門辦理備案手續。
什么是等保測評?
等保測評全稱是信息安全等級保護測評,是經公安部認證的具有資質的測評機構,依據國家信息安全等級保護規范規定,受有關單位委托,按照有關管理規范和技術標準,對信息系統安全等級保護狀況進行檢測評估的活動。
對信息系統安全等級保護狀況進行測試評估,包括兩個方面的內容:一是安全控制測評,主要測評信息安全等級保護要求的基本安全控制在信息系統中的實施配置情況;二是系統整體測評,主要測評分析信息系統的整體安全性。其中,安全控制測評是信息系統整體安全測評的基礎。
安全技術測評:包括物理安全、網絡安全、主機系統?安全、應用安全和數據安全等五個層面上的安全控制測評。
安全管理測評:包括安全管理機構、安全管理制度、人員安全管理、系統建設管理和系統運維管理等五個方面的安全控制測評。
二、等保備案≠等保測評!
只完成了等保備案,不完成后續的測評工作,仍然是違規的,還有可能被相關部門處罰!
案例一:
廣州警方在日常工作中發現,廣東億X電子商務有限公司某信息系統于2015年7月上線運行,并于2016年2月6日完成了等保備案(二級),但其后一直沒有依法開展等級測評。
為此,相關辦案人員前往該公司開展調查。經查,該公司對相關的法律、法規制度不了解,誤認為做完等級保護備案就完成了等保工作,因此,在備案后未進一步開展信息安全等級保護測評。隨后,廣州警方依法給予該公司警告處罰,并責令限期改正。
此案反映了各單位在落實信息安全等級保護的過程中存在的一些認知誤區。首先是對等保相關法律法規不了解,部分單位誤認為取得了公安機關提供的備案證,就具備了等級保護級別,而沒有啟動測評流程,沒有實質落實安全防護技術措施和管理制度。更有甚者認為進行等級保護備案是通過拿備案證“獲取資質”,以便在招標時增加“籌碼”,對于法律要求的“網絡安全保護各項制度和措施”刻意不執行。如果等級保護相關網絡安全技術措施未落實到位,可能導致敏感信息泄露、網絡資源被侵占、受控設備癱瘓損壞等嚴重問題。
案例二
2020年4月,廣州警方在工作中發現,廣州某學校對其所屬兩個辦公系統進行網絡安全等級保護備案之后,并未依法完成等級保護測評工作,未完成法定網絡安全等級保護義務。
同時該校作為此二系統的網絡安全主責單位,卻對系統的安全情況不知悉,也未對系統安全風險及時排查整改。針對該校的違法行為,廣州警方對其作出行政處罰,并責令其限時完成等級保護測評。
最后,企業應該正確認識到,等級保護備案工作是整個網絡安全等級保護工作的起點,而不是等級保護工作的終點。等級保護的各網絡運營者應依法完成等級保護全部流程,切實履行安全網絡安全主體責任。
