我国信息化建设面临着来自内外日益复杂多样的网络安全挑战,而信息安全是信息化的基石。信息网络安全问题将是一个生死攸关的重大问题,加快信息网络安全保障建设、增强保障能力的任务十分紧迫。
等级保护测评的全称为“信息安全等级保护”, 原则上将信息系统划分不同的等级根据系统等级实施安全保护措施,目的是为了实现按不同等级对信息系统进行【保护】、信息安全产品分进行【管理】、信息安全事件进行【响应】。
那为什么要做等保呢?
第一、开展等保的相当重要原因是为了通过等级保护工作,发现单位系统内部存在的安全隐患和不足,通过安全整改之后,提高信息系统的信息安全防护能力,降低系统被各种攻击的风险。一般用户单位内部系统大大小小有很多,用途不一样,受众群体和使用用户也不一样,那我们就需要通过等级保护去梳理和分析
我们现有的信息系统,将不同系统分不同重要等级进行分等级保护,这就是等保的定级工作,梳理出了不同等级的系统后,我们就要对不同系统进行不同等级的安全防护建设,保证重要的信息系统在有攻击的情况下能够很好地抵御攻击或者被攻击后能够快速的恢复应用,不造成重大损失或影响。
第二、等级保护是我国关于信息安全的基本政策,明确要求我国信息安全保障工作实行等级保护制度,提出“抓紧建立信息安全等级保护制度,制定信息安全等
级保护的管理办法和技术指南”。规定了实施信息安全等级保护制度的原则、内容、职责分工、基本要求和实施计划,部署了实施信息安全等级保护工作的操作
办法。网络安全法第二十一条明确规定:实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免
受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
简单总结下就是我家法律法规、相关政策制度要求我们去开展等级保护工作。
第三、很多行业主管单位要求行业客户开展等级保护工作,目前已经下发行业要求文件的有:金融、电力、广电、医疗、教育等行业,还有一些主管单位发过
相关文件或通知要求去做。另外信息安全主管单位要求我们去开展等级保护工作,主要有:公安、网信办、经信委、通管局等行业主管单位。
第四、合理地规避风险。每年都会出现一些大的信息安全事件,我们日常经常听到或看到的有,某某网站网页被篡改了,用户敏感信息被泄露了,更多的一
些小范围安全事件我们不清楚,但是在发生。那么发生比较大的安全事件,首先主管单位们要去现场调查,首先就会看我们到底有没开展等级保护工作,那么如
果你没有,相当直接的一个结论就是你的信息安全工作没有开展好,没有开展到位,我国相当基本的信息安全等级保护工作都没做,你说你买了很多防火墙,很多安全设备,那都是说不清道不明的,不如你实实在在拿出备案证明,拿出测评报告说服力强。出了问题难免就会被通报批评,被勒令下线整改,那么开展了等级保
护工作和没有开展等级保护工作被通报的内容就显然不同了,这里就不展开了,只可意会不可言传。相当简单的例子:一个主观上重视安全工作但是因为技术还不
够好而被攻击造成破坏和一个主观上都不重视安全工作被攻击造成破坏的情况,孰轻孰重,一目了然。但是怎么叫主观上重视呢?等保工作有没有开展就是衡量
的一个重要标准,因为等级保护是我国基本信息安全制度要求。
原因分析了,那等保的意义也就有了:
一、降低信息安全风险,提高信息系统的安全防护能力;
二、满足我国相关法律法规和制度的要求;
三、满足相关主管单位和行业要求;
四、合理地规避或降低风险。