二级系统等保测评怎么做?不做二级等保可以吗?
2020-08-17 17:05
等保二级系统主要是一些数据量不大、涉及用户人数不多的系统,但根据《网络安全法》,二级系统也需要进行等保测评,且每两年至少测评一次。等级保护测评需要具备一定的资质,所以企业一般寻找有测评资质的测评机构直接进行测评。关于测评机构推荐名单,您可以登陆中国网络安全等级保护网进行查看。当然,企业也可以找测评机构的合作伙伴间接合作,费用会相对低一些。
其次,不做二级等保是不可以的。《网络安全法》将等级保护的地位上升到法律层面,不做等保属于违法行为。国内目前已经有不少公开报道的因没有落实等级保护制度而被处罚的真实案例。
补充说明1:为什么要做等保工作?
①通过等级保护工作发现单位信息系统存在的安全隐患和不足,进行安全整改之后,提高信息系统的信息安全防护能力,降低系统被各种攻击的风险,维护单位良好的形象;
②等级保护是我国关于信息安全的基本政策,国家法律法规、相关政策制度要求单位开展等级保护工作。如《网络安全等级保护管理办法》和《中华人民共和国网络安全法》;
③很多行业主管单位要求行业客户开展等级保护工作,目前已经下发行业要求文件的有:金融、电力、广电、医疗、教育等行业等;
④落实个人及单位的网络安全保护义务,合理规避风险。
补充说明2:《网络安全法》等级保护相关规定
第十四条:信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。
信息系统运营、使用单位及其主管部门应当定期对信息系统安全状况、安全保护制度及措施的落实情况进行自查。第三级信息系统应当每年至少进行一次自查,第四级信息系统应当每半年至少进行一次自查,第五级信息系统应当依据特殊安全需求进行自查。
经测评或者自查,信息系统安全状况未达到安全保护等级要求的,运营、使用单位应当制定方案进行整改。
第十五条:已运营(运行)的第二级以上信息系统,应当在安全保护等级确定后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。新建第二级以上信息系统,应当在投入运行后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,应当向当地设区的市级以上公安机关备案。