“大白話說等保”力求用最簡單通俗的用語幫助企業(yè)、用戶快速了解等保建設(shè)中的相關(guān)問題。

 

 

01 什么是等級(jí)保護(hù)？

 

等級(jí)保護(hù)是對(duì)信息和信息載體按照重要性等級(jí)分級(jí)別進(jìn)行保護(hù)的一種工作。信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)選擇經(jīng)公安部認(rèn)證具有資質(zhì)的網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)，依據(jù)《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》等相關(guān)技術(shù)標(biāo)準(zhǔn)，定期對(duì)信息系統(tǒng)網(wǎng)絡(luò)安全狀況進(jìn)行檢測(cè)評(píng)估。2019年12月1日，(GB/T 22239—2019代替 GB/T 22239-2008）原有標(biāo)準(zhǔn)正式實(shí)施，進(jìn)入了等保2.0時(shí)代。

 

02 為什么要做等保？

 

1.從法律要求層面來說，《網(wǎng)絡(luò)安全法》明確規(guī)定，信息系統(tǒng)運(yùn)營、使用單位如果不開展等保工作就等同于違法，要受到相關(guān)處罰。

2.從實(shí)際業(yè)務(wù)安全要求方面，開展等保建設(shè)能夠提升運(yùn)營單位系統(tǒng)的安全防護(hù)能力，降低被攻擊的風(fēng)險(xiǎn)

 

03 等保要做什么？

 

《網(wǎng)絡(luò)安全法》第二十一條：國家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求，履行下列安全保護(hù)義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改：

 

1. 制定內(nèi)部安全管理制度和操作規(guī)程，確定網(wǎng)絡(luò)安全負(fù)責(zé)人，落實(shí)網(wǎng)絡(luò)安全保護(hù)責(zé)任；

2. 采取防范計(jì)算機(jī)病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施；

3. 采取監(jiān)測(cè)、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個(gè)月；

4. 采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施；

5. 法律、行政法規(guī)規(guī)定的其他義務(wù)。

 

關(guān)于等保具體的定級(jí)分級(jí)以及具體工作如何開展可以參考江民科技公眾號(hào)《等保分保傻傻分不清？干貨來啦~》

 

04 那哪些行業(yè)企業(yè)需要做等保測(cè)評(píng)呢？

 

目前監(jiān)管比較嚴(yán)格，不做等保不讓運(yùn)營的行業(yè)有金融、醫(yī)療、教育、快遞、酒店、物聯(lián)網(wǎng)行業(yè)、軟件開發(fā)、能源行業(yè)、通信行業(yè)、交通行業(yè)、征信行業(yè)、政府機(jī)關(guān) 、工業(yè)數(shù)據(jù)安全、云計(jì)算等。

 

具體如下：

 

一、政府機(jī)關(guān)：各大部委、各省級(jí)政府機(jī)關(guān)、各地市級(jí)政府機(jī)關(guān)、各事業(yè)單位等；

二、金融行業(yè)：金融監(jiān)管機(jī)構(gòu)、各大銀行、證券、保險(xiǎn)公司等，不做等保不允許經(jīng)營，監(jiān)管最嚴(yán)；

三、醫(yī)療行業(yè)：醫(yī)院、疾病控制中心、計(jì)劃生育機(jī)構(gòu)、醫(yī)療衛(wèi)生研究機(jī)構(gòu)等，各大醫(yī)院系統(tǒng)必須做等保，互聯(lián)網(wǎng)醫(yī)療要想上線取得線上診療資質(zhì)，必須過等保；

四、教育行業(yè)：高校、職校、普教等，211，985大學(xué)必須做等保，互聯(lián)網(wǎng)+教育如學(xué)生管理系統(tǒng)、學(xué)校網(wǎng)站等重要系統(tǒng)必須做等保；

五、電信行業(yè)：各大電信運(yùn)營商、各省電信公司、各地市電信公司、各類電信服務(wù)商等，應(yīng)上級(jí)主管部門要求必須做等保；

六、能源行業(yè)：電力公司、石油公司等，應(yīng)上級(jí)主管部門要求必須做等保；

七、交通行業(yè)：應(yīng)上級(jí)主管部門要求必須做等保；

八、企業(yè)單位：大中型企業(yè)、央企、上市公司等，等保和負(fù)責(zé)人的績效考核掛鉤。

九、其他有信息系統(tǒng)定級(jí)需求的行業(yè)與單位。

 

未落實(shí)網(wǎng)絡(luò)安全責(zé)任處罰案例

 

 案例一  瀘州某醫(yī)院不履行網(wǎng)絡(luò)安全保護(hù)義務(wù)案

 

簡要案情：2021年6月，瀘州某醫(yī)院遭受網(wǎng)絡(luò)攻擊，造成全院系統(tǒng)癱瘓。瀘州公安機(jī)關(guān)迅速調(diào)集技術(shù)力量趕赴現(xiàn)場(chǎng)，指導(dǎo)相關(guān)單位開展事件調(diào)查和應(yīng)急處置工作。經(jīng)調(diào)查發(fā)現(xiàn)，該醫(yī)院未制定內(nèi)部安全管理制度和操作流程，未確定網(wǎng)絡(luò)安全負(fù)責(zé)人，未采取防范計(jì)算機(jī)病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施，導(dǎo)致被黑客攻擊造成系統(tǒng)癱瘓。瀘州公安機(jī)關(guān)根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》第二十一條和五十九條之規(guī)定，對(duì)該院處以責(zé)令改正并警告的行政處罰。

 

案例二  廣安某單位不履行網(wǎng)絡(luò)保護(hù)義務(wù)案

 

簡要案情：2021年2月，廣安某單位所使用的智慧政務(wù)一體化平臺(tái)被黑客攻擊植入木馬病毒，導(dǎo)致系統(tǒng)文件被加密勒索，廣安公安機(jī)關(guān)立即以破壞計(jì)算機(jī)信息系統(tǒng)立案偵查。通過一案雙查發(fā)現(xiàn)，該單位未制定內(nèi)部安全管理制度和操作規(guī)程，未采取防范計(jì)算機(jī)病毒的技術(shù)措施，未對(duì)重要數(shù)據(jù)備份和加密，未履行網(wǎng)絡(luò)安全保護(hù)義務(wù)。廣安公安機(jī)關(guān)根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》第二十一條和第五十九條之規(guī)定，對(duì)該單位作出罰款一萬元、對(duì)單位具體責(zé)任人趙某作出罰款五千元的行政處罰。

 

 案例三  涼山某單位未履行安全保護(hù)義務(wù)案

 

簡要案情：近日，涼山公安機(jī)關(guān)接到報(bào)案稱，轄區(qū)某學(xué)校 60余名學(xué)生中考志愿被他人篡改。經(jīng)連夜偵查發(fā)現(xiàn)，系因某單位網(wǎng)站密碼安全等級(jí)低，存在網(wǎng)絡(luò)漏洞，被一升學(xué)無望心生報(bào)復(fù)的不法分子惡意攻擊篡改。涼山公安機(jī)關(guān)根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》第六十四條之規(guī)定，對(duì)該單位作出行政警告處罰，并責(zé)令限期整改。

 

下一期“大白話”將會(huì)為大家分享《企業(yè)過等保需要用到哪些安全設(shè)備》