许多企业一直认为:
公司拿到备案证就可以了。
这其实是错误的,等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作,备案只是其中一步,等级保护一共包括了如下流程:
第一步:系统定级。对业务、资产、安全技术和安全管理进行调研,确定定级系统,准备定级报告,提供协助定级服务,辅助用户完成定级报告,组织专家评审。
第二步:系统备案。持定级报告和备案表到当地公安网监进行备案,全云在线提供备案指引服务、辅导用户准备材料、完成备案。
第三步:建设整改。参照定级要求和标准,对信息系统整改加固,全云在线可以辅导用户进行系统的安全加固,协助用户建设安全管理体系,提供符合等保合规需求的安全产品。
第四步:等级测评。测评机构对信息系统等级测评,形成测评报告,全云在线提供等保测评服务,提供阿里云平台的合规资质证明,辅导用户测评整改,整改后,测评机构对系统等级符合性状况进行测评,出具测评报告。
第五步:合规监督检查。向当地公安网监提交测评报告,用户配合完成检查,全云在线将协助客户检查和整改,最后,公安机关监督检查进行等级保护工作。
一、等保备案和等保测评有什么区别?
关于等保备案和等保测评的区别,首先我们要知道它们各自的概念。
什么是等保备案呢?
网络安全等级保护备案工作包括信息系统备案、受理、审核和备案信息管理等工作。
根据《信息安全等级保护管理办法》,信息系统安全保护等级为第二级以上的信息系统运营使用单位或主管部门,应当在安全保护等级确定后 30 日内,到当地公安机关网监部门办理备案手续。新建第二级以上信息系统,应当在投入运行后 30 日内,由其运营、使用单位到当地公安机关网监部门办理备案手续。
什么是等保测评?
等保测评全称是信息安全等级保护测评,是经公安部认证的具有资质的测评机构,依据国家信息安全等级保护规范规定,受有关单位委托,按照有关管理规范和技术标准,对信息系统安全等级保护状况进行检测评估的活动。
对信息系统安全等级保护状况进行测试评估,包括两个方面的内容:一是安全控制测评,主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况;二是系统整体测评,主要测评分析信息系统的整体安全性。其中,安全控制测评是信息系统整体安全测评的基础。
安全技术测评:包括物理安全、网络安全、主机系统 安全、应用安全和数据安全等五个层面上的安全控制测评。
安全管理测评:包括安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全控制测评。
二、等保备案≠等保测评!
只完成了等保备案,不完成后续的测评工作,仍然是违规的,还有可能被相关部门处罚!
案例一:
广州警方在日常工作中发现,广东亿X电子商务有限公司某信息系统于2015年7月上线运行,并于2016年2月6日完成了等保备案(二级),但其后一直没有依法开展等级测评。
为此,相关办案人员前往该公司开展调查。经查,该公司对相关的法律、法规制度不了解,误认为做完等级保护备案就完成了等保工作,因此,在备案后未进一步开展信息安全等级保护测评。随后,广州警方依法给予该公司警告处罚,并责令限期改正。
此案反映了各单位在落实信息安全等级保护的过程中存在的一些认知误区。首先是对等保相关法律法规不了解,部分单位误认为取得了公安机关提供的备案证,就具备了等级保护级别,而没有启动测评流程,没有实质落实安全防护技术措施和管理制度。更有甚者认为进行等级保护备案是通过拿备案证“获取资质”,以便在招标时增加“筹码”,对于法律要求的“网络安全保护各项制度和措施”刻意不执行。如果等级保护相关网络安全技术措施未落实到位,可能导致敏感信息泄露、网络资源被侵占、受控设备瘫痪损坏等严重问题。
案例二
2020年4月,广州警方在工作中发现,广州某学校对其所属两个办公系统进行网络安全等级保护备案之后,并未依法完成等级保护测评工作,未完成法定网络安全等级保护义务。
同时该校作为此二系统的网络安全主责单位,却对系统的安全情况不知悉,也未对系统安全风险及时排查整改。针对该校的违法行为,广州警方对其作出行政处罚,并责令其限时完成等级保护测评。
最后,企业应该正确认识到,等级保护备案工作是整个网络安全等级保护工作的起点,而不是等级保护工作的终点。等级保护的各网络运营者应依法完成等级保护全部流程,切实履行安全网络安全主体责任。
