網路安全等級保護是指對國家重要資訊、法人和其他組織及公民的專有資訊以及公開信息和存儲、傳輸、處理這些資訊的資訊系統分等級實行安全保護,
對資訊系統中使用的資訊安全產品實行按等級管理,
對資訊系統中發生的資訊安全事件分等級回應、處置。
幾個關鍵字:1、資訊系統,
不是整個單位,
而是按照不同系統來進行防護的;2、分等級進行防護和管理,
理清重要系統和非重要系統,
對重要的系統進行重點管理,
不是所有系統都是一樣的防護。
那麼等級保護測評就是有資質的測評機構對非涉密的資訊系統按照不同等級要求對這些系統進行安全測評,
出具相應的資訊系統測評報告。
你的測評必須是有測評資質的機構,
否則你找安全廠家或者集成商或者其他人做的安全測評,
不是等級保護測評,
至多只能叫做安全測試,
你的測評結果公安部門是不認可的,
所以如果你想做等級保護測評,
務必找有資質的測評機構去做。
測評週期的要求:資訊安全等級保護管理辦法(公通字[2007]43號)中要求:“第三級資訊系統應當每年至少進行一次等級測評,
第四級資訊系統應當每半年至少進行一次等級測評,
第五級資訊系統應當依據特殊安全需求進行等級測評。
”這就是我們說的三級系統每年必須要做一次測評,
那麼二級系統呢,
我們翻閱了大量資料後沒有找到關於二級系統明確的時間要求,
從等保的定義和等保工作流程上,
可以知道:定級備案是第一和第二步,
測評、整改和監督檢查是後續動作,
所以說只有你定級了,
就得去做等保測評,
二級系統原則上是可以自測評的,
但是實際情況下我們發現絕大多數使用者單位是沒有這個能力去測評的,
所以還是得委託測評機構進行測評,
那麼二級系統第一次定級備案後是一定需要去做等保測評工作的,
後續經過大量使用者實踐和主管單位的指導,
我們正常是二級系統兩年左右做一次測評,
為什麼是兩年呢?一、系統相對三級沒那麼重要,
所以時間上相對長點;二、系統相對沒有定級的系統更重要些,
且往往有些二級系統也非常重要,
存儲了大量重要的資訊資料(其實本來是定三級的,
種種原因定了二級),
不去做測評,
風險太大。
另外一些行業明確規定二級系統測評週期是兩年,
如電力行業。
據說相關部門也在制定新的政策,
新政策中也是明確二級系統的測評週期是兩年。
最後不得不等建議大家,
系統定級備案後,
測評及後續工作正常開展起來,
你不做測評、不做等保就是網路安全義務沒有履行到位,
對應著網路安全法都有相關處罰的。
四川違反網路安全法第一案已經很好地給我們上了一課,
應該沒人想成為自己省份因不做等保而違法的第一案吧?