在網絡及信息系統信息化高速發展的今天�,如何確保網絡安全已成為了各行業發展中的重中之重��。伴隨著2017年《中華人民共和國網絡安全法》及相關法律法規的頒布實施�,網絡安全等級保護測評(以下簡稱:等保測評)已成為了國家保障網絡安全的一項基本制度�,更是以法律手段保護網絡信息系統安全��、提升各行業網絡安全防護能力的重要舉措�����。
日前���,筆者就等保測評等相關話題�,采訪了四川省質量監督協會副會長單位---成都市銳信安信息安全技術有限公司總經理祁志敏�。
筆者:請祁總給大家簡單介紹一下什么是等保測評?
祁志敏:“等保測評”是“網絡安全等級保護測評”的簡稱���,是指測評機構依據國家網絡安全等級保護制度規定���,按照有關管理規范和技術標準,對非涉及國家秘密的網絡安全等級保護狀況進行檢測評估的活動����。等級保護是國家信息安全保障的基本制度、基本策略�����、基本方法��。等級保護工作是對信息和信息載體按照重要性等級分級別進行保護的一種工作����。通過等級劃分可以反映出信息系統在保護國家安全、社會秩序/公共利益����、公民/法人/組織的合法權益方面的能力����。等保測評通常通過技術和管理兩方面對包括信息系統的物理和環境安全�、網絡和通信安全�����、設備和計算安全��、應用和數據安全以及管理體系等方面的全面評估�����。
筆者:哪些行業或企業必須做等保測評��?
祁志敏:根據國家《網絡安全法》及相關法律法規的要求�����,國家各級政府機關以及民航��、鐵路�����、銀行、證券����、保險、通信���、海關�、稅務�、電力、衛生����、教育、交通����、煙草、網約車�����、關鍵信息基礎設施運營單位、互聯網企業及大數據企業在內的都必須定期開展等保測評�。
筆者:企業通過等保測評之后的優勢主要體現在哪些方面?
祁志敏:企業通過等保測評之后的優勢��,主要體現在以下幾個方面:
第一:了解企業自身的安全現狀
定期對系統進行測評���,可避免系統漏洞在被利用之前就有針對性的采取加固措施�����,可以在一定程度上降低損失甚至避免損失。同時����,定期測評,能讓企業了解自身的網絡安全狀況��,查漏補缺���,提前整改�����,防患于未然�;
第二:滿足合規性方面的要求
根據《中華人民共和國網絡安全法》及相關法律法規的要求���,重要信息系統應定期開展等保測評�����,開展等保測評工作是滿足監管單位合規方面的要求����;
第三:為滿足客戶的需求
企業在系統交付時,客戶需要安全測評報告證明系統的安全性�,此時企業開展了等保測評工作會使客戶的驗收順利進行;
第四:提高企業網絡安全管理水平
企業開展等保測評不僅是對企業網絡技術防護措施的檢查�����,也是對企業網絡安全管理流程����、人員安全意識等方面的全面審查,有助于企業建立健全網絡信息安全管理體系����,整體提升企業安全管理的規范性和有效性。通過持續的等保測評���,企業可以不斷優化和完善安全策略和管理機制�����;
第五:有助于企業提升客戶的信任度和增強企業市場競爭力
對于涉及大量用戶敏感數據的企業來說���,通過等保測評并獲得相應等級認證����,可以增強合作伙伴和客戶的信任���,有助于提升企業良好的行業形象����,可以此獲得更多的商業機會�;
第六:促進企業持續改進
等保測評是一個動態循環的過程��,它要求企業應定期進行復審和調整安全策略����。這有助于企業緊跟網絡威脅和攻擊的不斷變化,不斷更新和完善網絡安全保障措施��,持續推動企業在信息安全管理中不斷進步;
第七:加強企業網絡風險控制與應急響應
等保測評可有助于企業更好地識別潛在風險,制定合理的網絡風險控制措施��,建立高效的網絡風險應急響應機制��。在發生網絡安全事件時�,能夠立即做出應對,確保企業業務的連續性和穩定性�。
筆者:如何劃分企業信息系統等級?
祁志敏:根據國家標準《信息安全技術 網絡安全等級保護定級指南》和《信息安全技術 網絡安全等級保護基本要求》�,信息系統的安全保護等級分為五級,其中第二級(含)以上的信息系統應定期進行等保測評��。具體來說:二級系統:是指系統受到破壞后���,會對相關公民����、法人和其他組織的合法權益造成嚴重損害或特別嚴重損害����,或者對社會秩序和公共利益造成危害,但不危害國家安全�。以企業的網站來舉例,雖不存在交易信息����、身份信息等隱私信息等敏感數據�����,但一旦受到惡意攻擊����,仍可能對企業本身造成不同程度的影響����。這類系統雖然風險相對較低,但仍需進行等保測評��,以確保企業基本的信息安全����。三級系統:是指受到破壞后,會對社會秩序和公共利益造成嚴重危害����,或者對國家安全造成危害���。以涉及交易信息���、身份信息�、隱私信息等敏感數據的系統舉例���,如政府單位業務系統���、醫療衛生系統(三甲、三乙醫院)��、電商網站���、物流平臺��、貨運網站等�,需要每年進行一次等保測評���。
筆者:企業應做而不做等保測評的法律風險是什么����?
祁志敏:根據《中華人民共和國網絡安全法》第二十一條規定:國家實行網絡安全等級保護制度��。網絡運營者應當按照網絡安全等級保護制度的要求��,履行安全保護義務,保障網絡免受干擾�����、破壞或者未經授權的訪問��,防止網絡數據泄露或者被竊取���、篡改���。同時,《中華人民共和國網絡安全法》第五十九條也明確規定: 網絡運營者不履行本法第二十一條�����、第二十五條規定的網絡安全保護義務的��,由有關主管部門責令改正����,給予警告;拒不改正或者導致危害網絡安全等后果的���,處一萬元以上十萬元以下罰款�����,對直接負責的主管人員處五千元以上五萬元以下罰款�����。
筆者:請給大家簡單介紹一下成都市銳信安信息安全技術有限公司在等保測評業務中的功能和優勢
祁志敏:成都市銳信安信息安全技術有限公司是四川省內最早獲得等保測評資質的測評機構�����,是經國家認可�����、公安部第三研究所��、中國信息安全測評中心�、中國網絡安全審查技術與認證中心等權威機構認證的獨立第三方網絡信息安全服務專業公司��。
公司致力于為客戶提供包括網絡安全等級測評��、信息安全風險評估�����、漏洞掃描與監測、滲透和軟件測試����、安全運維與應急保障支撐、網絡信息安全咨詢���、商用密碼應用安全性評估����、數據安全風險評估等全方位網絡安全服務解決方案��。多年來�����,公司始終堅守“用專業守護企業信息安全��,用技術保障網絡平穩運行”服務理念��,并先后與四川大學��、電子科技大學�、成都信息工程大學、四川電力科學研究院、西南科技大學等科研院校建立了長期的深度合作關系�����,與國家反計算機入侵和防病毒研究中心�、電子科技大學合作共同建立了四川教學基地���,與西南科技大學�、國家信息中心建成信息安全工程技術研究中心��。早在2012年�,公司就成為了國家信息安全等級保護領域權威機構——公安部信息安全等級保護評估中心在西南地區的唯一測評業務合作伙伴,2017����、2022年被評為全國網絡安全等級保護測評機構工作表現突出單位。公司從成立至今��,一直以“質量第一”作為公司在質量方面的要求���,公司從獲得等保測評資質以來�����,從來沒有因為項目質量問題被監管機構通報或暫停過資質�����。同時���,公司擁有西南地區數量及質量最多的中高級測評師�,可保質保量的完成用戶單位安全方面的需求��。
截至目前��,公司客戶遍及政府機關��,民航��、鐵路���、銀行����、證券��、保險�、通信�����、海關�、稅務���、電力、石化�����、衛生��、教育��、交通�、煙草等重點企事業單位,基本實現了網絡安全重點保護行業全覆蓋��,服務單位已超五千余家��。
段軍偉
分享:
