華為云|等保是什么，為什么它很重要

今天，備受矚目的網(wǎng)絡(luò)安全等級(jí)保護(hù)制度2.0國(guó)家標(biāo)準(zhǔn)正式實(shí)施，是國(guó)家網(wǎng)絡(luò)安全保護(hù)的根本制度，是保護(hù)信息化發(fā)展、維護(hù)網(wǎng)絡(luò)安全的根本保障。等保這么重要，沒(méi)有點(diǎn)了解就不應(yīng)該了。今天咱們就來(lái)學(xué)習(xí)下等保的基礎(chǔ)知識(shí)，共10個(gè)問(wèn)題。

一、什么是等保？

等保是等級(jí)保護(hù)的簡(jiǎn)稱(chēng)，是指對(duì)國(guó)家重要信息、法人和其他組織及公民的專(zhuān)有信息以及公開(kāi)的信息和存儲(chǔ)傳輸處理這些信息的系統(tǒng)進(jìn)行分等級(jí)實(shí)行安全保護(hù)、對(duì)信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級(jí)管理、對(duì)信息系統(tǒng)中發(fā)生的信息安全事件分等級(jí)響應(yīng)、處置的過(guò)程。

二、為什么要過(guò)等保？

網(wǎng)絡(luò)安全等級(jí)保護(hù)為信息系統(tǒng)、云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)等定級(jí)對(duì)象的網(wǎng)絡(luò)安全建設(shè)和管理提供系統(tǒng)性、針對(duì)性、可行性的指導(dǎo)和服務(wù),幫助用戶(hù)提高定級(jí)對(duì)象的安全防護(hù)能力。此外,《網(wǎng)絡(luò)安全法》第二十一條明確規(guī)定“國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度”。做好等?？梢裕?/p>

1、滿(mǎn)足國(guó)家相關(guān)法律法規(guī)和制度的要求，履行和落實(shí)網(wǎng)絡(luò)信息安全責(zé)任義務(wù)；

2、規(guī)避或降低系統(tǒng)的安全風(fēng)險(xiǎn)，提高系統(tǒng)的防護(hù)能力。

三、哪些行業(yè)需要過(guò)等保？

政府機(jī)關(guān)：各大部委、各省級(jí)政府機(jī)關(guān)、各地市級(jí)政府機(jī)關(guān)、各事業(yè)單位等。

金融行業(yè)：金融監(jiān)管機(jī)構(gòu)、各大銀行、證券、保險(xiǎn)公司等。

醫(yī)療行業(yè)：醫(yī)院、疫病控制中心、計(jì)劃生育機(jī)構(gòu)、醫(yī)療衛(wèi)生研究機(jī)構(gòu)等。

教育行業(yè)：高校、職校、普教等。

電信行業(yè)：各大電信運(yùn)營(yíng)商、各省電信公司、各地市電信公司、各類(lèi)電信服務(wù)商等。

能源行業(yè)：電力公司、石油公司等。

企業(yè)單位：大中型企業(yè)、央企、上市公司等。

其他單位：有信息系統(tǒng)定級(jí)需求的行業(yè)與單位。

四、過(guò)等保的流程是？

過(guò)等保一般要經(jīng)過(guò)5個(gè)階段，依次是：定級(jí)、備案、安全建設(shè)、等級(jí)測(cè)評(píng)、監(jiān)督檢查。

五、怎么定級(jí)？

定級(jí)的方式是：自主定級(jí)、專(zhuān)家評(píng)審、主管部門(mén)審批、公安機(jī)關(guān)審核。定級(jí)的依據(jù)如下表：

六、在哪里備案？

如無(wú)特殊行業(yè)要求，備案遵循以下原則：

省級(jí)：省級(jí)單位將資料交給省公安網(wǎng)安總隊(duì)。

市級(jí)：各地級(jí)市的單位將定級(jí)資料交給各自地級(jí)市的網(wǎng)安支隊(duì)。

縣級(jí)：先將資料交到區(qū)縣網(wǎng)安大隊(duì)，再由區(qū)縣網(wǎng)安大隊(duì)轉(zhuǎn)交地級(jí)市網(wǎng)安支隊(duì)進(jìn)行備案。

七、要測(cè)評(píng)些什么？

獲得測(cè)評(píng)資質(zhì)的機(jī)構(gòu)，依據(jù)國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)制度規(guī)定，按照有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，對(duì)非涉及國(guó)家秘密信息系統(tǒng)、平臺(tái)或基礎(chǔ)信息網(wǎng)絡(luò)等定級(jí)對(duì)象安全等級(jí)保護(hù)狀況進(jìn)行檢測(cè)評(píng)估的活動(dòng)。主要涉及2個(gè)層面：

技術(shù)層面：安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理中心。

管理層面：安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理、安全運(yùn)維管理。

八、多久要測(cè)一次？

三級(jí)及以上每年至少開(kāi)展一次；二級(jí)建議每?jī)赡觊_(kāi)展一次，部分行業(yè)明確要求兩年開(kāi)展一次。

九、測(cè)評(píng)不過(guò)怎么辦？

經(jīng)測(cè)評(píng)未達(dá)到安全保護(hù)要求的，要根據(jù)測(cè)評(píng)報(bào)告中的改進(jìn)建議，制定整改方案并進(jìn)一步進(jìn)行整改。建議在當(dāng)年度完成整改，包括：

1、安全管理制度不完善或缺失問(wèn)題；

2、漏洞補(bǔ)丁類(lèi)、安全策略調(diào)整類(lèi)、安全加固類(lèi)、網(wǎng)絡(luò)結(jié)構(gòu)調(diào)整類(lèi)等,測(cè)評(píng)中發(fā)現(xiàn)的高風(fēng)險(xiǎn)應(yīng)立即整改；

3、設(shè)備缺失或不足,依據(jù)測(cè)評(píng)要求補(bǔ)齊相應(yīng)安全設(shè)備。如三級(jí)系統(tǒng)要求能夠?qū)M(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流實(shí)現(xiàn)基于應(yīng)用協(xié)議和應(yīng)用內(nèi)容的訪(fǎng)問(wèn)控制，傳統(tǒng)的防火墻無(wú)法滿(mǎn)足，必須使用WAF或下一代防火墻。

十、等保測(cè)評(píng)結(jié)束后要做什么？

打印測(cè)評(píng)結(jié)果報(bào)告一式四份，測(cè)評(píng)機(jī)構(gòu)留一份，運(yùn)營(yíng)使用單位留兩份，報(bào)送網(wǎng)安一份。

并且，等級(jí)保護(hù)工作要求監(jiān)管單位定期開(kāi)展監(jiān)督檢查，等保三級(jí)定級(jí)對(duì)象每年都要開(kāi)展等級(jí)保護(hù)測(cè)評(píng)工作。