信息系统为什么要做等级保护定级备案?标准依据是什么?
2021-06-17 16:56
信息系统为什么要做等级保护定级备案呢?原因其实有如下三个:
1.为信息系统建立有效的网络安全防御体系,让信息系统真正具有安全防御的能力;
2.满足相关部门的合规性要求。根据《网络安全法》及等保相关标准规定,企业信息系统需要进行备案,并通过测评,否则会被公安机关和上级主管单位追责;
3.企业完成等保备案,说明企业信息系统有保障,能增强客户对企业的信心,从而为企业的投标加分。
具体来说,信息系统等级保护定级备案依据主要是《网络安全法》和《GBT 22240-2020信息安全技术网络安全等级保护定级指南》。由于信息系统必须通过等级测评,才算是落实了等保,企业还需参考等级保护测评要求、等级保护测评过程实施指南以及各行业出台的等级保护相关标准。
信息系统怎么做等级保护定级备案?
我国实行网络安全等级保护制度,信息系统分为五个安全保护等级,如下图所示:
第一步是定级,企业根据定级指南确定信息系统的安全保护等级。信息系统的安全保护等级由两个定级要素决定:①受侵害的客体。分三个方面,即:公民、法人和其他组织的合法权益;社会秩序、公共利益;国家安全;②对客体的侵害程度。分三种程度,即:造成一般损害;造成严重损害;造成特别严重损害。
企业初步定级之后,根据等保2.0标准,还需邀请专家评审,以及提交主管部门审核。当然,初步确定为第一级的等级保护对象,可不进行专家评审、主管部门批准和公安机关审核。
专家评审和主管部门审核之后,就可以准备备案材料,然后提交公安机关审核。审核通过,即可拿到备案号或者备案证明。需要特别注意的是,备案并不代表等保工作的结束,备案之后,企业需要接着进行下一步的等保整改和等保测评工作,只有信息系统通过测评,才算是取得了等保认证。否则,仅仅备案了是不行的。