一、什么是二级等保?
等级保护是我们国家的基本网络安全制度、基本国策,也是一套完整和完善的网络安全管理体系。今年 6 月 1 日《中华人民共和国网络安全法》正式生效,从国家层面用法律手段进一步规范了这个 “等级保护” 。遵循等级保护相关标准开始安全建设是目前企事业单位的普遍要求,也是国家关键资讯基础措施保护的基本要求。
二、为什么要做等保工作?
通过等级保护工作发现单位资讯系统存在的安全隐患和不足,进行安全整改之后,提高资讯系统的资讯保安防护能力,降低系统被各种攻击的风险,维护单位良好的形象。
等级保护是我国关于资讯保安的基本政策,国家法律法规、相关政策制度要求单位开展等级保护工作。如《网络安全等级保护管理办法》和《中华人民共和国网络安全法》。
很多行业主管单位要求行业客户开展等级保护工作,目前已经下发行业要求档案的有:金融、电力、广电、医疗、教育等行业等。
落实个人及单位的网络安全保护义务,合理规避风险。
三、等级保护怎么做?
1. 确定物件
各行业主管部门、运营使用单位按照《资讯保安等级保护管理办法》和《资讯系统安全等级保护定级指南》的要求,初步确定定级物件的安全保护等级。
2. 备案材料准备
办理资讯系统安全保护等级备案手续时,应当填写《资讯系统安全等级保护备案表》。
3. 专家评审与审批
初步确定资讯系统安全保护等级和准备好备案材料后,运营使用单位或主管部门参照评审意见最后确定资讯系统安全保护等级,形成定级报告。当专家评审意见与资讯系统运营使用单位或其主管部门意见不一致时,由运营使用单位或主管部门自主决定资讯系统安全保护等级。
资讯系统运营使用单位有上级行业主管部门的,所确定的资讯系统安全保护等级应当报上级行业主管部门审批同意。
4. 备案材料提交及稽核
定级备案单位将《资讯系统安全等级保护备案表》、《资讯系统安全等级保护定级报告》及上述配套材料提交属地公安机关网安部门稽核。对符合等级保护要求的,在收到备案材料之日起的 10 个工作日内颁发资讯系统安全等级保护备案证明;发现不符合本办法及有关标准的,在收到备案材料之日起的 10 个工作日内通知备案单位予以纠正。
四、不做二级等保会怎么样?
《网络安全法》第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络资料泄露或者被窃取、篡改:(五)法律、行政法规规定的其他义务。
如果公司的资讯系统出现问题(意外宕机、被攻击、资料泄露等)会造成对个人的利益侵害(隐私权、财产等),或者对社会秩序和公共利益造成侵害的,那最好都去做一下这个 “等级保护” 。因为现在不做等级保护的话万一将来系统出了事,会根据网络安全法进行处罚,以前可能只是行政条例,现在就是 “违法” 了,最近已经有不少例子了……
不做等保就属于第五个行为,国内目前已经有公开报道的因没有落实等级保护制度而被处罚的真实案例。所以等保及时去做,不要等,尤其国企和大一点 WordPress 企业。