根据《中华人民共和国网络安全法》第二十一条规定网络运营者应当按照网络安全等级保护制度的要求,履行相关的安全保护义务。同时第七十六条定义了网络运营者是指网络的所有者、管理者和网络服务提供者(网络是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换处理的系统。) 不履行网络安全保护义务的网络运营者,第五十九条规定由有关主管部门责令整改、处以罚款警告等惩罚措施等来看,企业官网都应该要做等保。但由于其会产生昂贵的费用以及企业建站公司需要很多配合工作从而产生更多的费用,很多企业做个展示型官网并没有一定选择等保服务。为了更好的跟大家说清楚等保一事,我们计划从等保的定义、等保的实施措施和可能涉及的费用来谈一谈这件事情的来龙去脉。
等保,全称为信息安全等级保护,是一项旨在保护国家信息系统安全的制度。它根据信息系统在国家安全、社会稳定、经济秩序和公共利益方面的重要性,以及风险威胁、安全需求、安全成本等因素,将信息系统划分为不同的安全保护等级,并采取相应等级的安全保护技术、管理措施,以保障信息系统的安全和信息安全。
因此,从等保的定义来看,只要咱们公司的经费允许、工期允许、建站公司有这个能力协助完成,我们都应当选择等保服务。一方面是配合政府做好这方面的防御工作,另一方面是给自己的网站或平台带来更多的安全保障。
既然等保是涉及安全问题的,那么就会有等级问题,不同的等级采用的措施及所需要负的责任也是不尽相同。
信息系统等级划分
-
将信息系统划分为五个等级,分别为一级至五级,等级越高,安全要求越高。
具体划分如下:
第一级(自主保护级):等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级(指导保护级):等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级(监督保护级):等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生特别严重损害,或者对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级(强制保护级):等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级(专控保护级):等级保护对象受到破坏后,会对国家安全造成特别严重损害。
五个等级适用企业划分:等保二级适用于一般企业就可以,如果是互联网医院平台、P2P金融平台、网约车平台、云平台等重要系统则需要进行等保三级,等保四级一般适用于地市级以上国家机关、企业、事业单位内部重要的信息系统测评,等保五级适用于国家级电信、广电、银行、铁道、海关、税务、民航、证券、电力、保险等重要信息系统中的核心子系统,涉及国防、重大外交、航天航空、核能源、尖端科学技术等重要信息系统中的核心子系统,国家级党政机关重要信息系统中的核心子系统。
以上定义来自一些专做等保测试评估的公司。从字面含义上来看,五个等级不管是哪一个,只要系统泄漏之后,不对社会、国家以及个人(一般是网站用户,尤其是有会员注册系统的网站)造成损害的,其实条件不允许,不做这个等保也不会有什么重大的后果。作为企业朋友,大家可以把做等保测试所需要的费用跟对个人、对社会可能造成的伤害所承担的责任来做对比,哪个更重要就选择做与不做。一般来说,企业官网主要的职能是用于展示自己公司内部的一些文化、产品、服务、联系方式等等,不存在泄漏用户个人信息、国家机密等。所以没有条件可以选择不做等保。
安全保护等级
-
将信息系统的安全保护划分为四个等级,分别为基本、一般、重要和核心,不同的安全保护等级对应着不同的安全保护措施。
安全保护要求
-
对不同等级的安全保护要求进行了明确的规定,包括安全管理、网络安全、主机安全、应用安全、数据安全等方面。等保工作包括定级备案、安全建设和整改、信息安全等级测评、信息安全检查等五个阶段。在中国,信息安全等级保护制度已经形成一套较为完善的标准及政策体系,不同安全等级的信息系统应具有不同的安全保护能力。等保是等级保护的简称,它不仅涉及到对信息系统的安全保护,还涉及到对信息系统中使用的信息安全产品实行按等级管理,以及对信息安全事件分等级响应、处置。
等保服务或压力测试服务
等保、压力测试
-
需要购买腾讯、阿里云这些技术服务器提供商的相应产品。据了解,2级等保大致需要支付人民币20多万。这对于中小型企业来说是一笔较大的开支,而本身做一个网站也就8万10万,搞个测试就要这么多,挺不划算的。
等保、压力测试都是需要购买第三方平台的产品,并修改网页代码迎合测试,是一项超大的工程。
哪些行业需要进行等级维护测评
-
政府机关:各大部委、各省级政府机关、各地市级政府机关、各事业单位等;
金融行业:金融监管机构、各大银行、证券、保险公司等;
电信行业:各大电信运营商、各省电信公司、各地市电信公司等;
能源行业:电力公司、石油公司、烟草公司;
企业单位:大中型企业、央企、上市公司等;
其它有信息系统定级需求的行业与单位。
