一、什麼是二級等保?
等級保護是我們國家的基本網絡安全制度、基本國策,也是一套完整和完善的網絡安全管理體系。今年 6 月 1 日《中華人民共和國網絡安全法》正式生效,從國家層面用法律手段進一步規範了這個 “等級保護” 。遵循等級保護相關標準開始安全建設是目前企事業單位的普遍要求,也是國家關鍵資訊基礎措施保護的基本要求。
二、為什麼要做等保工作?
通過等級保護工作發現單位資訊系統存在的安全隱患和不足,進行安全整改之後,提高資訊系統的資訊保安防護能力,降低系統被各種攻擊的風險,維護單位良好的形象。
等級保護是我國關於資訊保安的基本政策,國家法律法規、相關政策制度要求單位開展等級保護工作。如《網絡安全等級保護管理辦法》和《中華人民共和國網絡安全法》。
很多行業主管單位要求行業客户開展等級保護工作,目前已經下發行業要求檔案的有:金融、電力、廣電、醫療、教育等行業等。
落實個人及單位的網絡安全保護義務,合理規避風險。
三、等級保護怎麼做?
1. 確定物件
各行業主管部門、運營使用單位按照《資訊保安等級保護管理辦法》和《資訊系統安全等級保護定級指南》的要求,初步確定定級物件的安全保護等級。
2. 備案材料準備
辦理資訊系統安全保護等級備案手續時,應當填寫《資訊系統安全等級保護備案表》。
3. 專家評審與審批
初步確定資訊系統安全保護等級和準備好備案材料後,運營使用單位或主管部門參照評審意見最後確定資訊系統安全保護等級,形成定級報告。當專家評審意見與資訊系統運營使用單位或其主管部門意見不一致時,由運營使用單位或主管部門自主決定資訊系統安全保護等級。
資訊系統運營使用單位有上級行業主管部門的,所確定的資訊系統安全保護等級應當報上級行業主管部門審批同意。
4. 備案材料提交及稽核
定級備案單位將《資訊系統安全等級保護備案表》、《資訊系統安全等級保護定級報告》及上述配套材料提交屬地公安機關網安部門稽核。對符合等級保護要求的,在收到備案材料之日起的 10 個工作日內頒發資訊系統安全等級保護備案證明;發現不符合本辦法及有關標準的,在收到備案材料之日起的 10 個工作日內通知備案單位予以糾正。
四、不做二級等保會怎麼樣?
《網絡安全法》第二十一條 國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求,履行下列安全保護義務,保障網絡免受干擾、破壞或者未經授權的訪問,防止網絡資料泄露或者被竊取、篡改:(五)法律、行政法規規定的其他義務。
如果公司的資訊系統出現問題(意外宕機、被攻擊、資料泄露等)會造成對個人的利益侵害(隱私權、財產等),或者對社會秩序和公共利益造成侵害的,那最好都去做一下這個 “等級保護” 。因為現在不做等級保護的話萬一將來系統出了事,會根據網絡安全法進行處罰,以前可能只是行政條例,現在就是 “違法” 了,最近已經有不少例子了……
不做等保就屬於第五個行為,國內目前已經有公開報道的因沒有落實等級保護制度而被處罰的真實案例。所以等保及時去做,不要等,尤其國企和大一點 WordPress 企業。