信息安全等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
几个关键词:1、信息系统,不是整个单位,而是按照不同系统来进行防护的;2、分等级进行防护和管理,理清重要系统和非重要系统,对重要的系统进行重点管理,不是所有系统都是一样的防护。
那么等级保护测评就是有资质的测评机构对非涉密的信息系统按照不同等级要求对这些系统进行安全测评,出具相应的信息系统测评报告。你的测评必须是有资质的机构,否则你找的安全厂家或者集成商或者其他人做的安全测评,不是等级保护测评,至多只能叫做安全测试,你的测评结果公安部门是不认可的,说白点:就是你的钱白花了。
测评周期的要求:信息安全等级保护管理办法(公通字[2007]43号)中要求:“第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。”这就是我们说的三级系统每年必须要做一次测评。
那么二级系统呢,我们翻阅了大量资料后没有找到关于二级系统明确的时间要求,从等保的定义和等保工作流程上,可以知道:定级备案是第一和第二步,测评、整改和监督检查是后续动作,所以说只有你定级了,就得去做等保测评,二级系统原则上是可以自测评的,但是实际情况下我们发现绝大多数用户单位是没有这个能力去测评的,所以还是得委托测评机构进行测评,那么二级系统第一次定级备案后是一定需要去做等保测评工作的,后续经过大量用户实践和主管单位的指导,我们正常是二级系统两年左右做一次测评,为什么是两年呢?
一、系统相对三级没那么重要,所以时间上相对长点;
二、系统相对没有定级的系统更重要些,且往往有些二级系统也非常重要,存储了大量重要的信息数据(其实本来是定三级的,种种原因定了二级),不去做测评,风险太大。
最后不得不等建议大家,系统定级备案后,测评及后续工作正常开展起来,你不做测评就是信息安全责任没有履行到位,对应着网络安全法都有相关处罚的。
来源:等级保护测评,作者:不得不等
声明:我们推送的每一篇文章,都会注明来源和作者,版权归原作者所有,仅供分享学习,不做商业用途。若未能找到作者和原始出处还望谅解;如有侵权,请联系本微信后台,我们会在第一时间删除并致歉。
IT综合服务商
智慧旅游解决方案专家
