在网络及信息系统信息化高速发展的今天,如何确保网络安全已成为了各行业发展中的重中之重。伴随着2017年《中华人民共和国网络安全法》及相关法律法规的颁布实施,网络安全等级保护测评(以下简称:等保测评)已成为了国家保障网络安全的一项基本制度,更是以法律手段保护网络信息系统安全、提升各行业网络安全防护能力的重要举措。
日前,笔者就等保测评等相关话题,采访了四川省质量监督协会副会长单位---成都市锐信安信息安全技术有限公司总经理祁志敏。
笔者:请祁总给大家简单介绍一下什么是等保测评?
祁志敏:“等保测评”是“网络安全等级保护测评”的简称,是指测评机构依据国家网络安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密的网络安全等级保护状况进行检测评估的活动。等级保护是国家信息安全保障的基本制度、基本策略、基本方法。等级保护工作是对信息和信息载体按照重要性等级分级别进行保护的一种工作。通过等级划分可以反映出信息系统在保护国家安全、社会秩序/公共利益、公民/法人/组织的合法权益方面的能力。等保测评通常通过技术和管理两方面对包括信息系统的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全以及管理体系等方面的全面评估。
笔者:哪些行业或企业必须做等保测评?
祁志敏:根据国家《网络安全法》及相关法律法规的要求,国家各级政府机关以及民航、铁路、银行、证券、保险、通信、海关、税务、电力、卫生、教育、交通、烟草、网约车、关键信息基础设施运营单位、互联网企业及大数据企业在内的都必须定期开展等保测评。
笔者:企业通过等保测评之后的优势主要体现在哪些方面?
祁志敏:企业通过等保测评之后的优势,主要体现在以下几个方面:
第一:了解企业自身的安全现状
定期对系统进行测评,可避免系统漏洞在被利用之前就有针对性的采取加固措施,可以在一定程度上降低损失甚至避免损失。同时,定期测评,能让企业了解自身的网络安全状况,查漏补缺,提前整改,防患于未然;
第二:满足合规性方面的要求
根据《中华人民共和国网络安全法》及相关法律法规的要求,重要信息系统应定期开展等保测评,开展等保测评工作是满足监管单位合规方面的要求;
第三:为满足客户的需求
企业在系统交付时,客户需要安全测评报告证明系统的安全性,此时企业开展了等保测评工作会使客户的验收顺利进行;
第四:提高企业网络安全管理水平
企业开展等保测评不仅是对企业网络技术防护措施的检查,也是对企业网络安全管理流程、人员安全意识等方面的全面审查,有助于企业建立健全网络信息安全管理体系,整体提升企业安全管理的规范性和有效性。通过持续的等保测评,企业可以不断优化和完善安全策略和管理机制;
第五:有助于企业提升客户的信任度和增强企业市场竞争力
对于涉及大量用户敏感数据的企业来说,通过等保测评并获得相应等级认证,可以增强合作伙伴和客户的信任,有助于提升企业良好的行业形象,可以此获得更多的商业机会;
第六:促进企业持续改进
等保测评是一个动态循环的过程,它要求企业应定期进行复审和调整安全策略。这有助于企业紧跟网络威胁和攻击的不断变化,不断更新和完善网络安全保障措施,持续推动企业在信息安全管理中不断进步;
第七:加强企业网络风险控制与应急响应
等保测评可有助于企业更好地识别潜在风险,制定合理的网络风险控制措施,建立高效的网络风险应急响应机制。在发生网络安全事件时,能够立即做出应对,确保企业业务的连续性和稳定性。
笔者:如何划分企业信息系统等级?
祁志敏:根据国家标准《信息安全技术 网络安全等级保护定级指南》和《信息安全技术 网络安全等级保护基本要求》,信息系统的安全保护等级分为五级,其中第二级(含)以上的信息系统应定期进行等保测评。具体来说:二级系统:是指系统受到破坏后,会对相关公民、法人和其他组织的合法权益造成严重损害或特别严重损害,或者对社会秩序和公共利益造成危害,但不危害国家安全。以企业的网站来举例,虽不存在交易信息、身份信息等隐私信息等敏感数据,但一旦受到恶意攻击,仍可能对企业本身造成不同程度的影响。这类系统虽然风险相对较低,但仍需进行等保测评,以确保企业基本的信息安全。三级系统:是指受到破坏后,会对社会秩序和公共利益造成严重危害,或者对国家安全造成危害。以涉及交易信息、身份信息、隐私信息等敏感数据的系统举例,如政府单位业务系统、医疗卫生系统(三甲、三乙医院)、电商网站、物流平台、货运网站等,需要每年进行一次等保测评。
笔者:企业应做而不做等保测评的法律风险是什么?
祁志敏:根据《中华人民共和国网络安全法》第二十一条规定:国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。同时,《中华人民共和国网络安全法》第五十九条也明确规定: 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
笔者:请给大家简单介绍一下成都市锐信安信息安全技术有限公司在等保测评业务中的功能和优势
祁志敏:成都市锐信安信息安全技术有限公司是四川省内最早获得等保测评资质的测评机构,是经国家认可、公安部第三研究所、中国信息安全测评中心、中国网络安全审查技术与认证中心等权威机构认证的独立第三方网络信息安全服务专业公司。
公司致力于为客户提供包括网络安全等级测评、信息安全风险评估、漏洞扫描与监测、渗透和软件测试、安全运维与应急保障支撑、网络信息安全咨询、商用密码应用安全性评估、数据安全风险评估等全方位网络安全服务解决方案。多年来,公司始终坚守“用专业守护企业信息安全,用技术保障网络平稳运行”服务理念,并先后与四川大学、电子科技大学、成都信息工程大学、四川电力科学研究院、西南科技大学等科研院校建立了长期的深度合作关系,与国家反计算机入侵和防病毒研究中心、电子科技大学合作共同建立了四川教学基地,与西南科技大学、国家信息中心建成信息安全工程技术研究中心。早在2012年,公司就成为了国家信息安全等级保护领域权威机构——公安部信息安全等级保护评估中心在西南地区的唯一测评业务合作伙伴,2017、2022年被评为全国网络安全等级保护测评机构工作表现突出单位。公司从成立至今,一直以“质量第一”作为公司在质量方面的要求,公司从获得等保测评资质以来,从来没有因为项目质量问题被监管机构通报或暂停过资质。同时,公司拥有西南地区数量及质量最多的中高级测评师,可保质保量的完成用户单位安全方面的需求。
截至目前,公司客户遍及政府机关,民航、铁路、银行、证券、保险、通信、海关、税务、电力、石化、卫生、教育、交通、烟草等重点企事业单位,基本实现了网络安全重点保护行业全覆盖,服务单位已超五千余家。
段军伟
版权所有©四川省质量监督协会官方网站 备案号:蜀ICP备2024101844号