二级等保一年要做一次吗?
2021-06-23 15:20
常规民用系统基本都属于二级信息系统,需要做二级等保,同样要完成等保备案并通过等级测评。那么,二级信息系统做等保的周期是怎样的呢?一年做一次吗?
在回答这个问题之前,我们需要明确的是,单位只有按照定级、备案、整改、测评、监督检查的流程落实了等保工作,才算是取得了二级等保认证。而在这五个流程中,只有测评是有周期的,所以,二级等保是不是要每年做一次,要看二级信息系统的等级测评周期。
根据等级保护相关标准,等级测评有周期,一级信息系统无需测评,二级信息系统每两年至少测评一次,三级信息系统每年至少测评一次,四级信息系统每半年至少测评一次。所以,如果你的信息系统属于二级信息系统,那么每两年做一次测评就可以了。换句话说,二级等保不是一年做一次,而是每两年至少做一次。
当然,关于二级信息系统的等级保护办理,单位还需要注意的是:
定级和备案是信息系统等级保护的初始工作,只有单位第一次做等保的时候才需要,此后的等级测评和整改,就按照测评周期来进行就可以,定级备案是可以沿用的。但是!如果单位信息系统发生变化,那么就需要重新定级备案。哪种情况下,单位需要重新定级备案呢?
答:根据等保定级指南,信息系统运行过程中,当系统状态变化可能导致业务信息安全或系统服务受到破坏后的受侵害对象和受侵害程度有较大的变化时,应根据具体情况重新定级,并变更安全保护等级。
最后还是要提醒大家,虽然二级信息系统的等级保护要求没有三级信息系统那么多,但如果单位因此掉以轻心,仍然可能会出现备案不成功,或者测评无法通过的情况,所以,单位一定要按要求,合规落实等保工作。此外,落实等级保护,代表着单位的信息系统得到了基本的安全保障,并不是最高的安全保障,所以就算做了等保,还是可能会发生安全事故,不过,做了等保还发生安全事故,可以避免被公安机关处罚;最后,虽然二级信息系统每两年才需要至少做一次等级测评,但互联网时代,网络瞬息万变,如果真的等到测评周期到了再检查信息系统的安全状况就晚了,日常也要做好安全保护工作。