黑龙江哪些企业需要做等保?
等保测评全称是信息安全等级保护测评,是经公安部认证的具有资质的测评机构,依据国家信息安全等级保护规范规定,受有关单位委托,按照有关管理规范和技术标准,对信息系统安全等级保护状况进行检测评估的活动。
网络安全等级保护测评的标准依据
《网络安全等级保护管理办法》第十四条规定:信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评工作。
▪《信息安全技术 网络安全等级保护测评过程指南》GB∕T 28449-2018
▪《信息安全技术 网络安全等级保护基本要求》GB∕T 22239-2019
▪《信息安全技术 网络安全等级保护测评要求》GB∕T 28448-2019
测评机构应当依据《管理办法》、《测评过程指南》、《基本要求》、《测评要求》等国家标准进行等级保护测评工作。
其中《基本要求》阐述了等级测评工作的目标和内容,《测评要求》阐述了《基本要求》中各要求项的具体测评方法、步骤和判断依据等,用来评定信息系统的安全保护措施是否符合《基本要求》。《测评过程指南》规定了开展等级测评工作的基本过程、流程、任务及工作产品等,规范测评机构的等级测评工作,并对在等级测评过程中何时如何使用《测评要求》提出了指导建议。共同指导网络安全等级保护测评工作。
安全等保测评包含哪些内容
等保是一个全方位系统安全性标准,不仅仅是程序安全,包括:物理安全、应用安全、通信安全、边界安全、环境安全、管理安全等方面。
【物理安全】机房物理访问控制、防火,防雷击,温湿度控制、电力供应,电磁防护。
【应用安全】应用具备身份鉴别、访问控制、安全审计、信息保护、软件容错、资源控制和代码安全。
【通信安全】包括网络架构,通信传输,可信验证。
【边界安全】包括边界防护,访问控制,入侵防范,恶意代码防护等。
【环境安全】 入侵防范,恶意代码防范,身份鉴别,访问控制,数据完整性、保密性,个人信息保护。
【管理安全】系统管理,审计管理,安全管理,集中管控。
哪些企业需要做等保?
1.政府机关:各大部委、各省级政府机关、各地市级政府机关、事业单位等;
2.金融行业:金融监管机构、各大银行、证券、保险公司等;
3.电信行业:各大电信运营商、各省电信公司、各地市电信公司、各类电信服务商等;
4.能源行业:电力公司、石油公司、烟草公司;
5.企业单位:大中型企业、央企、上市公司等;
6.其它有信息系统定级需求的行业与单位。
7.一些基于上级监管单位要求和政策的强制要求开展等级保护测评的企业。例如,中国人民银行要求征信机构必须进行等级保护测评,所以多数相关机构会委托经人民银行和国家信息安全管理机构批准成立的认证机构CFCA(中国金融认证中心)进行测评。