依据信息安全相关法规、标准及行业管理规范,通过访谈、检查、测试、风险分析等多种方式对甲方指定的信息系统,从物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等方面进行单元测评,并从安全控制间安全、层面间安全、区域间安全、系统结构安全等方面进行整体测评,给出初次测评结论,提出安全建设整改建议,整改后再对系统进行测评并出具最终测评报告。
据消息称,信息系统安全测评不做的话,后续将不允许发电。
后续的问题:
部门规章和依据具体是什么及如何规定的?
2017年6月1日正式实施的《网络安全法》第三章用了近三分之一的篇幅规范网络运行安全,特别强调要保障关键信息基础设施的运行安全。强调在网络安全等级保护制度的基础上,对关键信息基础设施实行重点保护,明确关键信息基础设施的运营者负有更多的安全保护义务,并配以安全审查、重要数据强制本地存储等法律措施,确保关键信息基础设施的运行安全。可见,开展等级保护工作是企业义不容辞的网络安全义务。
机关:各大部委、各省级机关、各地市级机关、各事业单位等
金融行业:金融监管机构、各大银行、证券、保险公司等
电信行业:各大电信运营商、各省电信公司、各地市电信公司、各类电信服务商等
能源行业:电力公司、石油公司、烟草公司
企业单位:大中型企业、央企、上市公司等
其它有信息系统定级需求的行业与单位。
每个单位都有好多信息系统,大的原则是:确定为二级及以上的信息系统是需要做等保测评的。那么单位内部哪些是二级及以上信息系统呢?
二级系统主要是以下系统:区县级重要的信息系统,地市级和省级的一般信息系统,这里的一般信息系统指的是不涉及敏感信息、重要信息的信息系统,这些系统都可以定为二级系统;
三级系统主要有以下系统:省级单位门户网站、地级市影响力比较大的单位门户网站、地级市及以上重要的业务网站需要定为三级;地市级及以上内部涉及到工作秘密、敏感信息、重要信息的办公系统,管理系统需要定到三级,跨省的用于生产、调度、管理、指挥等在省、市的分支系统需要定为三级,跨省联结的网络系统要定为三级(这个一般都是全国运营的专网系统)。
当然我们在系统定级的时候还是要结合系统的重要性去实际定级,切勿死板硬套,例如我们在某区一个系统里面存储了全区上百万的人口信息,住房信息等等敏感信息,这样的系统虽然是在区县,但是就得定到三级。
于企业——实施信息安全等级保护测评能够有效地提高单位信息和信息系统安全建设的整体水平,有效控制企业信息安全建设成本;有利于明确、法人和其他组织、公民的信息安全责任,加强企业信息安全管理。
于信息系统——通过等级保护测评可及时发现信息系统安全状况并制定方案进行整改,当信息系统完全达到安全保护能力要求时,信息系统就基本可做到“进不来、拿不走、改不了、看不懂、跑不了、可审计、打不垮”。
总之,等保工作不能局限于一个定级备案工作,加紧开展测评及后续的安全整改,发现问题,解决问题才是根本所在。
做等级保护测评需要找符合规定要求的等级保护测评机构。 什么样的测评机构是符合要求的?测评机构找哪家?找符合规定要求的等级保护测评机构,又是一本糊涂账。