bbs.ebnew

 找回密码
 立即注册
查看: 1776|回复: 0

开展等级保护工作的四大原因,网络安全重要性不言而喻 【转】

[复制链接]

1308

主题

247

好友

7万

积分

版主

上善若水

Rank: 7Rank: 7Rank: 7

社区劳模 最爱沙发 社区明星 原创达人 版主勋章

发表于 2017-9-11 22:37:25 |显示全部楼层
开展等级保护工作的四大原因,网络安全重要性不言而喻


原创 2017-09-10 不得不等 等级保护测评

不得不等在和很多用户交流的过程中,好多用户会问:为什么要去做等级保护?是的,为什么呢,今天我就简单分析下为什么要做等保,和开展等级保护工作的意义。


为什么要开展等级保护工作呢?主要有以下几个原因:


第一、不得不等认为开展等保的最重要原因是通过等级保护工作,发现单位信息系统与国家安全标准之间存在的差距,查明目前系统存在的安全隐患和不足,通过安全整改之后,提高信息系统的信息安全防护能力,降低系统被各种攻击的风险。一般用户单位内部系统大大小小有很多,用途不一样,受众群体和使用用户也不一样,那我们就需要通过等级保护去梳理和分析我们现有的信息系统,将不同系统分不同重要等级进行分等级保护,这就是等保的定级工作,梳理出了不同等级的系统后,我们就要对不同系统进行不同等级的安全防护建设,保证重要的信息系统在有攻击的情况下能够很好地抵御攻击或者被攻击后能够快速的恢复应用,不造成重大损失或影响。等级保护工作是非涉密系统网络安全的抓手,如果大家都能很好按照等保要求去开展网络安全工作,那么自己所在单位的网络安全工作一定不会差。


第二、等级保护是我国关于网络安全的基本政策,《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27 号,以下简称“27 号文件”)明确要求我国信息安全保障工作实行等级保护制度,提出“抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。2007年6月发布的关于印发《信息安全等级保护管理办法》的通知(公通字[2007]43 号,以下简称“43号文件”)规定了实施信息安全等级保护制度的原则、内容、职责分工、基本要求和实施计划,部署了实施信息安全等级保护工作的操作办法。2017年6月1日正式实行的《中华人民共和国网络安全法》中第二十一条明确规定:国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。我们目前已经看到国内各地公安部门、网信部门依据《网络安全法》对相关单位进行处罚的案例不下于10起,其中就单独针对没有及时开始等级保护工作的至少也有三起了。简单总结下就是国家法律法规、相关政策制度要求我们去开展等级保护工作,不做等级保护工作就是不合规行为,严肃点说,就是在违法,大家务必重视,不能麻痹大意。


第三、很多行业主管单位要求行业客户开展等级保护工作,目前已经下发行业要求文件的有:金融、电力、广电、医疗、教育、电子政务等行业,还有一些主管单位发过相关文件或通知要求去做。另外信息安全主管单位要求我们去开展等级保护工作开展网络安全工作,主要有:公安、网信办等行业主管单位。不做等保的话,没法向相关主管单位及行业主管单位汇报自己单位的网络安全工作。


第四、合理地规避风险。每年都会出现一些大的信息安全事件,我们日常经常听到或看到的有,某某网站网页被篡改了,用户敏感信息被泄露了,更多的一些小范围安全事件我们不清楚,但是在发生。那么发生比较大的安全事件,首先主管单位们要去现场调查,首先就会看我们到底有没开展等级保护工作,那么如果你没有,最直接的一个结论就是你的信息安全工作没有开展好,没有开展到位,国家最基本的等级保护工作都没做,你说你买了很多防火墙,很多安全设备,那都是说不清道不明的,不如你实实在在拿出备案证明,拿出测评报告说服力强。前段时间的四川违反《网络安全法》第一案就是因为用户没有开展等保工作,导致网站被攻击,单位被罚款,相关安全责任人被罚款。出了问题难免就会被通报批评,被勒令下线整改,那么开展了等级保护工作和没有开展等级保护工作被通报的内容就显然不同了,这里就不展开了,只可意会不可言传。最简单的例子:一个主观上重视安全工作但是因为技术还不够好而被攻击造成破坏和一个主观上都不重视安全工作被攻击造成破坏的情况,孰轻孰重,一目了然。但是怎么叫主观上重视呢?等保工作有没有开展就是衡量的一个重要标准,因为等级保护是国家基本信息安全制度要求。


原因分析了,那等保的意义也就有了:一、降低信息安全风险,提高信息系统的安全防护能力;二、满足国家相关法律法规和制度的要求;三、满足相关主管单位和行业要求;四、合理地规避或降低风险。


近期全国人大常委会执法检查组正在全国各地就《网络安全法》和《关于加强网络信息保护的决定》贯彻实施的相关情况进行执法检查。其中检查需掌握的情况有:落实网络安全等级保护制度情况,清理违法有害信息地力度,用户个人的信息安全保障工作情况等。所以当下我们需要把能做的工作及时做好,为十九大的胜利召开创造一个很好的安全网络环境。今天爆出的一个新闻WePhone创始人被前妻逼成自杀,暴露出当下互联网企业在个人信息管理上存在的一些问题,如信息的真实性,再到现在各种应用需要实名制,加上群主要对群的安全负责,等等这些情况,都说明了国家对网络安全、信息安全越来越重视,只是到底如何管理,如何控制,还需要大家共同努力,不断去完善,为实现大家的中国梦创造一个更和谐更安全的网络环境。




乘物以游心
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

Archiver|手机版|bbs.ebnew.com

GMT+8, 2020-10-24 11:58 , Processed in 0.035627 second(s), 22 queries .

Powered by Discuz! X2.5

© 2001-2012 Comsenz Inc.

回顶部