什么是等保?
以《中华人民共和国网络安全法》为法律依据,以2019年5月发布的《GB/T22239-2019 信息安全技术 网络安全等级保护基本要求》为指导标准的网络安全等级保护办法,业内简称 “ 等保2.0 ”。
等保的发展历程是什么?
在1994年,国务院令第147号文件第九条“计算机信息系统实行安全等级保护”首次提出了等级保护的概念,期间经历13年,在2007年公通字[2007]43号文中明确了信息安全等级保护的五个动作,为开展等级保护工作提供了规范保障,在2008年时,《信息系统安全等级保护基本要求 GB/T22239-2008》正式面世,即为等保1.0相应指导标准,在2019年,等保2.0核心标准GB-T22239-2019《信息安全技术 网络安全等级保护基本要求》正式发布,标准着正式进入等保2.0时代。
为什么要做等保?
从法律要求层面来说,网络安全等级保护是国家信息安全保障基本制度、基本策略、基本方法。《中华人民共和国网络安全法》明确规定信息系统运营、使用单位应当按照网络安全等级保护制度的要求,履行安全保护义务,如果拒不履行,将会受到相应处罚。
从行业要求层面来说,等保已成为许多行业的必需品。很多行业主管单位明确要求从业机构的信息系统要开展等保工作,比如金融、电力、广电、医疗、教育等行业。
从安全要求层面来说,信息系统运营、使用单位通过开展等保工作可以发现系统内部的安全隐患与不足之处,可通过安全整改提升系统的安全防护能力,降低被攻击的风险。
云租户为什么需要单独做等保?
根据“ 谁运营谁负责,谁使用谁负责,谁主管谁负责 ” 的原则,系统的责任主体还是属于网络运营者自己,所以云租户还是得承担相应的网络安全责任。由于天翼云平台本身就已经通过等保,所以在做等保的过程中,云租户无需再关注物理环境和网络环境,只需关本身业务系统合规即可。
等保2.0建设流程是什么?
整个等保2.0的建设流程分为五个步骤,分别是:
- 定级:确定定级对象,初步确定安全保护等级,专家评审,主管部门审核、公安机关备案审查。
- 备案:持定级报告和备案表到当地公安机关网安部门进行备案,获取备案证明。
- 建设整改:参照网络安全等级保护相关标准及规范要求,对信息系统进行整改加固。
- 等级测评:委托具备测评资质的测评机构对信息系统进行等级测评,形成正式的测评报告。
- 监督检查:向当地公安机关网安部门提交测评报告,配合完成对信息安全等级保护实施情况的检查。