一、什么是等保备案?
网络安全等级保护备案工作包括信息系统备案、受理、审核和备案信息管理等工作。根据《信息安全等级保护管理办法》,信息系统安全保护等级为第二级以上的信息系统运营使用单位或主管部门,应当在安全保护等级确定后 30 日内,到当地公安机关网监部门办理备案手续。新建第二级以上信息系统,应当在投入运行后 30 日内,由其运营、使用单位到当地公安机关网监部门办理备案手续。
二、什么是等保测评?
等保测评全称是信息安全等级保护测评,是经公安部认证的具有资质的测评机构,依据国家信息安全等级保护规范规定,受有关单位委托,按照有关管理规范和技术标准,对信息系统安全等级保护状况进行检测评估的活动。
对信息系统安全等级保护状况进行测试评估,包括两个方面的内容:一是安全控制测评,主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况;二是系统整体测评,主要测评分析信息系统的整体安全性。其中,安全控制测评是信息系统整体安全测评的基础。
安全技术测评:包括物理安全、网络安全、主机系统 安全、应用安全和数据安全等五个层面上的安全控制测评。安全管理测评:包括安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全控制测评。
三、可以只备案不测评吗?
对于企业而言,二级及以上的系统,等保备案和等保测评都是必须做的,同时等保测评并不是做一次就可以,二级系统每两年至少进行一次等保测评,三级系统每年至少进行一次等保测评,四级系统每半年至少进行一次等保测评。
| 级别 | 测评周期 |
| 第一级(自主保护级) | 不需要 |
| 第二级(指导保护级) | 每两年至少一次 |
| 第三级(监督保护级) | 每年至少一次 |
| 第四级(强制保护级) | 每半年至少一次 |
| 第五级(专控保护级) | 超出等保范畴 |
根据《网络安全法》,没有按照要求落实等级保护工作的网络运营者,会被给予警告、处以罚款,或者责令限期整改;根据2019年11月1日起正式实施的《最高人民法院、最高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》,不做等保甚至会获最高判刑!
