在網(wǎng)絡(luò)及信息系統(tǒng)信息化高速發(fā)展的今天����,如何確保網(wǎng)絡(luò)安全已成為了各行業(yè)發(fā)展中的重中之重�。伴隨著2017年《中華人民共和國網(wǎng)絡(luò)安全法》及相關(guān)法律法規(guī)的頒布實(shí)施�,網(wǎng)絡(luò)安全等級保護(hù)測評(以下簡稱:等保測評)已成為了國家保障網(wǎng)絡(luò)安全的一項(xiàng)基本制度�,更是以法律手段保護(hù)網(wǎng)絡(luò)信息系統(tǒng)安全、提升各行業(yè)網(wǎng)絡(luò)安全防護(hù)能力的重要舉措��。
日前�����,筆者就等保測評等相關(guān)話題�����,采訪了四川省質(zhì)量監(jiān)督協(xié)會副會長單位---成都市銳信安信息安全技術(shù)有限公司總經(jīng)理祁志敏��。
筆者:請祁總給大家簡單介紹一下什么是等保測評���?
祁志敏:“等保測評”是“網(wǎng)絡(luò)安全等級保護(hù)測評”的簡稱�����,是指測評機(jī)構(gòu)依據(jù)國家網(wǎng)絡(luò)安全等級保護(hù)制度規(guī)定�����,按照有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)��,對非涉及國家秘密的網(wǎng)絡(luò)安全等級保護(hù)狀況進(jìn)行檢測評估的活動(dòng)��。等級保護(hù)是國家信息安全保障的基本制度��、基本策略�、基本方法。等級保護(hù)工作是對信息和信息載體按照重要性等級分級別進(jìn)行保護(hù)的一種工作�。通過等級劃分可以反映出信息系統(tǒng)在保護(hù)國家安全、社會秩序/公共利益���、公民/法人/組織的合法權(quán)益方面的能力��。等保測評通常通過技術(shù)和管理兩方面對包括信息系統(tǒng)的物理和環(huán)境安全��、網(wǎng)絡(luò)和通信安全�、設(shè)備和計(jì)算安全��、應(yīng)用和數(shù)據(jù)安全以及管理體系等方面的全面評估�。
筆者:哪些行業(yè)或企業(yè)必須做等保測評�?
祁志敏:根據(jù)國家《網(wǎng)絡(luò)安全法》及相關(guān)法律法規(guī)的要求,國家各級政府機(jī)關(guān)以及民航����、鐵路�����、銀行�����、證券��、保險(xiǎn)�����、通信�、海關(guān)���、稅務(wù)�����、電力����、衛(wèi)生�、教育���、交通、煙草�、網(wǎng)約車、關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營單位�����、互聯(lián)網(wǎng)企業(yè)及大數(shù)據(jù)企業(yè)在內(nèi)的都必須定期開展等保測評�。
筆者:企業(yè)通過等保測評之后的優(yōu)勢主要體現(xiàn)在哪些方面?
祁志敏:企業(yè)通過等保測評之后的優(yōu)勢��,主要體現(xiàn)在以下幾個(gè)方面:
第一:了解企業(yè)自身的安全現(xiàn)狀
定期對系統(tǒng)進(jìn)行測評����,可避免系統(tǒng)漏洞在被利用之前就有針對性的采取加固措施,可以在一定程度上降低損失甚至避免損失�。同時(shí),定期測評����,能讓企業(yè)了解自身的網(wǎng)絡(luò)安全狀況���,查漏補(bǔ)缺��,提前整改��,防患于未然�;
第二:滿足合規(guī)性方面的要求
根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》及相關(guān)法律法規(guī)的要求,重要信息系統(tǒng)應(yīng)定期開展等保測評�����,開展等保測評工作是滿足監(jiān)管單位合規(guī)方面的要求�����;
第三:為滿足客戶的需求
企業(yè)在系統(tǒng)交付時(shí)�,客戶需要安全測評報(bào)告證明系統(tǒng)的安全性,此時(shí)企業(yè)開展了等保測評工作會使客戶的驗(yàn)收順利進(jìn)行�����;
第四:提高企業(yè)網(wǎng)絡(luò)安全管理水平
企業(yè)開展等保測評不僅是對企業(yè)網(wǎng)絡(luò)技術(shù)防護(hù)措施的檢查����,也是對企業(yè)網(wǎng)絡(luò)安全管理流程、人員安全意識等方面的全面審查���,有助于企業(yè)建立健全網(wǎng)絡(luò)信息安全管理體系��,整體提升企業(yè)安全管理的規(guī)范性和有效性��。通過持續(xù)的等保測評����,企業(yè)可以不斷優(yōu)化和完善安全策略和管理機(jī)制;
第五:有助于企業(yè)提升客戶的信任度和增強(qiáng)企業(yè)市場競爭力
對于涉及大量用戶敏感數(shù)據(jù)的企業(yè)來說����,通過等保測評并獲得相應(yīng)等級認(rèn)證,可以增強(qiáng)合作伙伴和客戶的信任�,有助于提升企業(yè)良好的行業(yè)形象,可以此獲得更多的商業(yè)機(jī)會����;
第六:促進(jìn)企業(yè)持續(xù)改進(jìn)
等保測評是一個(gè)動(dòng)態(tài)循環(huán)的過程,它要求企業(yè)應(yīng)定期進(jìn)行復(fù)審和調(diào)整安全策略�。這有助于企業(yè)緊跟網(wǎng)絡(luò)威脅和攻擊的不斷變化,不斷更新和完善網(wǎng)絡(luò)安全保障措施��,持續(xù)推動(dòng)企業(yè)在信息安全管理中不斷進(jìn)步;
第七:加強(qiáng)企業(yè)網(wǎng)絡(luò)風(fēng)險(xiǎn)控制與應(yīng)急響應(yīng)
等保測評可有助于企業(yè)更好地識別潛在風(fēng)險(xiǎn)�,制定合理的網(wǎng)絡(luò)風(fēng)險(xiǎn)控制措施,建立高效的網(wǎng)絡(luò)風(fēng)險(xiǎn)應(yīng)急響應(yīng)機(jī)制����。在發(fā)生網(wǎng)絡(luò)安全事件時(shí),能夠立即做出應(yīng)對����,確保企業(yè)業(yè)務(wù)的連續(xù)性和穩(wěn)定性。
筆者:如何劃分企業(yè)信息系統(tǒng)等級��?
祁志敏:根據(jù)國家標(biāo)準(zhǔn)《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)定級指南》和《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》���,信息系統(tǒng)的安全保護(hù)等級分為五級��,其中第二級(含)以上的信息系統(tǒng)應(yīng)定期進(jìn)行等保測評����。具體來說:二級系統(tǒng):是指系統(tǒng)受到破壞后���,會對相關(guān)公民�����、法人和其他組織的合法權(quán)益造成嚴(yán)重?fù)p害或特別嚴(yán)重?fù)p害���,或者對社會秩序和公共利益造成危害,但不危害國家安全。以企業(yè)的網(wǎng)站來舉例��,雖不存在交易信息��、身份信息等隱私信息等敏感數(shù)據(jù)��,但一旦受到惡意攻擊�����,仍可能對企業(yè)本身造成不同程度的影響�。這類系統(tǒng)雖然風(fēng)險(xiǎn)相對較低,但仍需進(jìn)行等保測評��,以確保企業(yè)基本的信息安全����。三級系統(tǒng):是指受到破壞后,會對社會秩序和公共利益造成嚴(yán)重危害�,或者對國家安全造成危害。以涉及交易信息���、身份信息��、隱私信息等敏感數(shù)據(jù)的系統(tǒng)舉例�����,如政府單位業(yè)務(wù)系統(tǒng)���、醫(yī)療衛(wèi)生系統(tǒng)(三甲、三乙醫(yī)院)�����、電商網(wǎng)站��、物流平臺���、貨運(yùn)網(wǎng)站等��,需要每年進(jìn)行一次等保測評�����。
筆者:企業(yè)應(yīng)做而不做等保測評的法律風(fēng)險(xiǎn)是什么�?
祁志敏:根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》第二十一條規(guī)定:國家實(shí)行網(wǎng)絡(luò)安全等級保護(hù)制度����。網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護(hù)制度的要求,履行安全保護(hù)義務(wù),保障網(wǎng)絡(luò)免受干擾�、破壞或者未經(jīng)授權(quán)的訪問,防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取��、篡改���。同時(shí)��,《中華人民共和國網(wǎng)絡(luò)安全法》第五十九條也明確規(guī)定: 網(wǎng)絡(luò)運(yùn)營者不履行本法第二十一條����、第二十五條規(guī)定的網(wǎng)絡(luò)安全保護(hù)義務(wù)的�����,由有關(guān)主管部門責(zé)令改正����,給予警告;拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的�,處一萬元以上十萬元以下罰款,對直接負(fù)責(zé)的主管人員處五千元以上五萬元以下罰款���。
筆者:請給大家簡單介紹一下成都市銳信安信息安全技術(shù)有限公司在等保測評業(yè)務(wù)中的功能和優(yōu)勢
祁志敏:成都市銳信安信息安全技術(shù)有限公司是四川省內(nèi)最早獲得等保測評資質(zhì)的測評機(jī)構(gòu)�����,是經(jīng)國家認(rèn)可���、公安部第三研究所���、中國信息安全測評中心、中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心等權(quán)威機(jī)構(gòu)認(rèn)證的獨(dú)立第三方網(wǎng)絡(luò)信息安全服務(wù)專業(yè)公司�。
公司致力于為客戶提供包括網(wǎng)絡(luò)安全等級測評�����、信息安全風(fēng)險(xiǎn)評估���、漏洞掃描與監(jiān)測���、滲透和軟件測試、安全運(yùn)維與應(yīng)急保障支撐��、網(wǎng)絡(luò)信息安全咨詢��、商用密碼應(yīng)用安全性評估���、數(shù)據(jù)安全風(fēng)險(xiǎn)評估等全方位網(wǎng)絡(luò)安全服務(wù)解決方案���。多年來����,公司始終堅(jiān)守“用專業(yè)守護(hù)企業(yè)信息安全��,用技術(shù)保障網(wǎng)絡(luò)平穩(wěn)運(yùn)行”服務(wù)理念��,并先后與四川大學(xué)�、電子科技大學(xué)、成都信息工程大學(xué)����、四川電力科學(xué)研究院、西南科技大學(xué)等科研院校建立了長期的深度合作關(guān)系��,與國家反計(jì)算機(jī)入侵和防病毒研究中心��、電子科技大學(xué)合作共同建立了四川教學(xué)基地�,與西南科技大學(xué)、國家信息中心建成信息安全工程技術(shù)研究中心�����。早在2012年,公司就成為了國家信息安全等級保護(hù)領(lǐng)域權(quán)威機(jī)構(gòu)——公安部信息安全等級保護(hù)評估中心在西南地區(qū)的唯一測評業(yè)務(wù)合作伙伴����,2017、2022年被評為全國網(wǎng)絡(luò)安全等級保護(hù)測評機(jī)構(gòu)工作表現(xiàn)突出單位�����。公司從成立至今��,一直以“質(zhì)量第一”作為公司在質(zhì)量方面的要求����,公司從獲得等保測評資質(zhì)以來�����,從來沒有因?yàn)轫?xiàng)目質(zhì)量問題被監(jiān)管機(jī)構(gòu)通報(bào)或暫停過資質(zhì)����。同時(shí),公司擁有西南地區(qū)數(shù)量及質(zhì)量最多的中高級測評師�����,可保質(zhì)保量的完成用戶單位安全方面的需求。
截至目前�����,公司客戶遍及政府機(jī)關(guān)���,民航����、鐵路�、銀行、證券����、保險(xiǎn)、通信��、海關(guān)����、稅務(wù)、電力�����、石化、衛(wèi)生����、教育、交通���、煙草等重點(diǎn)企事業(yè)單位�,基本實(shí)現(xiàn)了網(wǎng)絡(luò)安全重點(diǎn)保護(hù)行業(yè)全覆蓋����,服務(wù)單位已超五千余家。
段軍偉
分享:
