什么是二级等保?哪些企业需要办理?
一、什么是二级等保
所谓二级等保就是指一种网络安全制度,是一套完整的网络安全管理体系。等保分为五级,一至五级等级逐级增高。一般企业申请二级或三级。二级等保,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。国家信息安全监管部门对该级信息系统安全等级保护工作进行指导。
二、为什么要做等级保护
1.法律法规要求
《网络安全法》明确规定信息系统运营、使用单位应当按照网络安全等级保护制度要求,履行安全保护义务,如果拒不履行,将会受到相应处罚。第二十一条∶国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
2.行业要求
在金融、电力、广电、医疗、教育等行业,主管单位明确要求从业机构的信息系统(APP)要开展等级保护工作。
3.企业系统安全的需求
信息系统运营、使用单位通过开展等级保护工作可以发现系统内部的安全隐患与不足之处,可通过安全整改提升系统的安全防护能力,降低被攻击的风险。简单来说,《网络安全法》一直对网站、信息系统、APP有等级保护要求,中小型企业通常是行业要求才意识到问题。
三、哪些行业涉及办理等级保护
1、教育(互联网教育)需要完成ICP、等保备案、测评报告,三者缺一不可;
2、医疗(互联网医疗)∶各大医院系统需要做等保,互联网医疗要想上线取的上诊疗资质,需要过等保;
3、快递行业:不做等保不给换许可证
4、金融(互联网金融)∶不做等保不允许经营,监管严格;
5、物联网:行业或甲方要求需要做等保
6、能源、通信、交通行业:上级主管部门要求;
7、云:云物联,云安全,云储存,云计算,云服务器;
8、软件开发:行业或甲方要求需要做等保;
9、工业数据安全、大数据∶行业或甲方要求需要做等保;
10、征信行业:行业要求需要做等保
11、酒店行业:属于目前严查行业;
12、政府机关、企事业单位、央企∶上级主管部门要求。
四、等级保护怎么做
(1)、企业自己做等级保护
1.在定级备案的步骤,一级不需要备案仅需企业自主定级。二级、三级是大部分普通企业的信息系统定级。四级、五级普通企业不会涉及,通常是与国家相关(如等保四级-涉及民生的,如铁路、能源、电力等)的重要系统。根据地区不同备案文件修改递交通常需要1个月左右的时间。
2.定级备案后,寻找本地区测评机构进行等级测评。
3.根据测评评分(GBT22239-2019信息安全技术网络安全等级保护基本要求。具体分数需要测评后才能给出)对信息系统(APP)进行安全整改,如果企业没有专业的安全团队,需要寻找安全公司进行不同项目的整改。等级保护2.0三级有211项内容,通常企业需要根据自身情况采购安全产品完成整改。
4.进行安全建设整改后,通过测评。当地公安机关会进行监督检查包含定级备案测评、测评后抽查。
整个流程企业自行做等级保护,顺利的话3-4个月完成,如果不熟悉需要半年甚至更久。优势∶与第三方企业对比几乎没有优势。劣势∶时间长、消耗人力成本高、技术人员不足还可能增加安全建设成本。
(2)、寻找第三方机构做等级保护
1.在定级备案步骤,有些等保机构会提出指导性意见协助企业提交定级报告。
2.第三方等保机构可以协助企业找到专业测评机构,测评机构提出整改意见,企业根据整改意见购买安全产品,完成测评。