等保测评对企业数据信息保护的重要性
2020年突如其来的疫情,使得我们的日常工作、学习和生活都转而依靠互联网平台,此时网络安全问题的重要性更加突显。与此同时,新一代信息基础设施也在更加广泛和深入地服务于我们的社会经济,与之密切相关的网络数据安全的重要性更加凸显。
网络安全等级保护制度,根据信息系统对于国家、社会、团体和公众的重要程度的不同,建立了一个其应该达到的安全要求的统一规范,提供了我国对于信息系统基于 “合规” 管理的一系列支持基础。
2019年,国家发布了网络安全等级保护新版国家标准、核心标准,推动我国的网络安全等级保护工作进入了等级保护2.0时代。
2020年4月28日,国家市场监督管理总局、国家标准化管理委员会制定《信息安全技术网络安全等级保护定级指南》发布,将于2020年11月1日实施。
较旧版《指南》重要变化如下:
1、重新确定定级对象范围,增加云平台、物联网、工业控制系统、采用移动互联网的系统,以及通信网络设施和数据资源
2、明确定级流程,确定定级对象->初步确定等级->专家评审->主管部门核准->备案审核
3、(对比此前使用的GA/T1389-2017)“对公民、法人和其他组织合法权益造成特别严重损害”等级重新回到“二级”
另外,在定级备案过程中需要特别注意的地方:对于通信网络设施、云计算平台/系统等定级对象,需根据其承载或将要承载的等级保护对象的重要程度确定其安全保护等级,原则上不低于其承载的等级保护对象的安全保护等级。
网络安全等级保护制度,正在对国家和企业的信息数据进行保护。对于企业和机构而言,完成等保备案和等保测评,不仅仅是一种义务,更是一种责任。如果没有按照法律按时及时完成,将会受到一定的惩罚和限制。
连云港某网络公司在提供互联网服务过程中未履行网络安全保护义务,未采取监测、记录网络运行状态、网络安全事件的技术措施,未按照规定留存相关的网络日志等。
3月22日,连云港警方依法责令该公司限期整改,并予以警告。4月3日,复查中发现该公司存在拒不整改情形,警方依据《网络安全法》第21条、第59条规定,对连云港某网络公司予以罚款5万元,对该公司法人毛某某予以罚款2万元,责令其落实网络安全等级保护制度。
今年2月,南京某研究院、无锡某图书馆因安全责任意识淡薄、网络安全等级保护制度落实不到位、管理制度和技术防护措施严重缺失,导致网站遭受攻击破坏。
南京、无锡警方依据《网络安全法》第21条、第59条规定,对上述单位分别予以5万元罚款,对相关责任人予以5千元、2万元不等罚款,同时责令限期整改安全隐患,落实网络安全等级保护制度。
一个又一个近期发生的案例,都在告诉企业,重视网络安全等级保护制度。那么,企业内哪些系统需要做等保?根据《信息安全技术 网络安全等级保护定级指南》等相关标准的规定,针对于企业而言,以下内容都属于实施等保的对象:
1、起支撑、传输作用的信息网络(包括专网、内网、外网、网管系统),如某汽车局域网信息系统,某IDC机房等保三级业务系统;
2、用于生产、调度、管理、作业、指挥、办公等目的的各类业务系统,要按照不同业务类别单独实施等保,不以系统是否进行数据交换、是否独享设备为必要条件。如企业内部的OA系统、人力资源管理系统以及ERP系统,某法院智能信息审判系统,某医院的信息化系统,某水电厂监控系统;
3、各单位网站、邮件系统要作为独立的等保对象。如果网站的后台数据库管理系统安全级别较高,以及网上运行的信息系统,都要作为独立的等保对象。如企业内部/对外网站系统、某银行征信中心网站系统,12306火车票售票网站等;
4、云平台、大数据、工业控制系统、物联网、移动互联网、卫星系统等,都属于等保对象的范围。
【法律依据】:2017年6月1日《网络安全法》颁布之后,等级保护工作以法律形式确定下来,正式上升为法律,也就是说是强制性标准,必须要遵守的。
网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款;对直接负责的主管人员处五千元以上五万元以下 罚款。
关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的,由有关主管部门责令改正,给予 警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款;对直接负责的主管人员处一万元以上十万元以下罚款。
刑法修正案九法律责任条款
第二百八十六条之一【拒不履行信息网络安全管理义务罪】 网络服务提供者不履行法律、行政法规规定的 信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,有下列情形之一的,处 三年以下有期徒刑、拘役或者管制,并处或者单处罚金:
(一)致使违法信息大量传播的;
(二)致使用户信息泄露,造成严重后果的;
(三)致使刑事案件证据灭失,情节严重的;
(四)有其他严重情节的。
等级保护是国家信息安全保障工作的基本制度、基本国策,是开展信息安全工作的基本方法 ,是促进信息化、维护国家信息安全的根本保障 。
等保的最重要原因是通过等级保护工作,发现单位信息系统与国家安全标准之间存在的差距,查明目前系统存在的安全隐患和不足,通过安全整改之后,提高信息系统的信息安全防护能力,降低系统被各种攻击的风险。等级保护是我国关于网络安全的基本政策,满足相关主管单位和行业要求!
公司宝温馨提醒:如果您的企业,还没有进行等保备案和测评,那可要抓紧啦!网络信息安全不仅仅关乎企业安全,更关乎国家利益!如果您有任何关于等级保护方面的疑点和难点,欢迎私信公司宝小编。希望能够给您带来有益的帮助!(文章图片来源于互联网)
0元领取企业智能化服务管理工具
工商资质证照管理| 智能评估| 商标查询、注册| 专利查询| 税收计算| 税筹计算等
免费注册公司宝会员,即可获得以上全部功能,并且可以免费使用!
限量1000个名额,送企业诊断评估服务,并有专人反馈!
依托公司宝十四年服务沉淀,专业技术团队打造,Icompany为企业提供更智能化的服务管理!
点击立即领取:https://icompany.gongsibao.com/
关注更多企业服务欢迎访问公司宝官网(https://www.gongsibao.com/),深耕企业服务十四年,全国多个城市一站式办理,专家顾问为您排忧解难。
上一篇: 提升企业形象的资质证书介绍
下一篇: 社保合规对企业的重要性