在網(wǎng)絡(luò)及信息系統(tǒng)信息化高速發(fā)展的今天,如何確保網(wǎng)絡(luò)安全已成為了各行業(yè)發(fā)展中的重中之重。伴隨著2017年《中華人民共和國(guó)網(wǎng)絡(luò)安全法》及相關(guān)法律法規(guī)的頒布實(shí)施,網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)(以下簡(jiǎn)稱:等保測(cè)評(píng))已成為了國(guó)家保障網(wǎng)絡(luò)安全的一項(xiàng)基本制度,更是以法律手段保護(hù)網(wǎng)絡(luò)信息系統(tǒng)安全、提升各行業(yè)網(wǎng)絡(luò)安全防護(hù)能力的重要舉措。
日前,筆者就等保測(cè)評(píng)等相關(guān)話題,采訪了四川省質(zhì)量監(jiān)督協(xié)會(huì)副會(huì)長(zhǎng)單位---成都市銳信安信息安全技術(shù)有限公司總經(jīng)理祁志敏。
筆者:請(qǐng)祁總給大家簡(jiǎn)單介紹一下什么是等保測(cè)評(píng)?
祁志敏:“等保測(cè)評(píng)”是“網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)”的簡(jiǎn)稱,是指測(cè)評(píng)機(jī)構(gòu)依據(jù)國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)制度規(guī)定,按照有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn),對(duì)非涉及國(guó)家秘密的網(wǎng)絡(luò)安全等級(jí)保護(hù)狀況進(jìn)行檢測(cè)評(píng)估的活動(dòng)。等級(jí)保護(hù)是國(guó)家信息安全保障的基本制度、基本策略、基本方法。等級(jí)保護(hù)工作是對(duì)信息和信息載體按照重要性等級(jí)分級(jí)別進(jìn)行保護(hù)的一種工作。通過(guò)等級(jí)劃分可以反映出信息系統(tǒng)在保護(hù)國(guó)家安全、社會(huì)秩序/公共利益、公民/法人/組織的合法權(quán)益方面的能力。等保測(cè)評(píng)通常通過(guò)技術(shù)和管理兩方面對(duì)包括信息系統(tǒng)的物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計(jì)算安全、應(yīng)用和數(shù)據(jù)安全以及管理體系等方面的全面評(píng)估。
筆者:哪些行業(yè)或企業(yè)必須做等保測(cè)評(píng)?
祁志敏:根據(jù)國(guó)家《網(wǎng)絡(luò)安全法》及相關(guān)法律法規(guī)的要求,國(guó)家各級(jí)政府機(jī)關(guān)以及民航、鐵路、銀行、證券、保險(xiǎn)、通信、海關(guān)、稅務(wù)、電力、衛(wèi)生、教育、交通、煙草、網(wǎng)約車、關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)單位、互聯(lián)網(wǎng)企業(yè)及大數(shù)據(jù)企業(yè)在內(nèi)的都必須定期開(kāi)展等保測(cè)評(píng)。
筆者:企業(yè)通過(guò)等保測(cè)評(píng)之后的優(yōu)勢(shì)主要體現(xiàn)在哪些方面?
祁志敏:企業(yè)通過(guò)等保測(cè)評(píng)之后的優(yōu)勢(shì),主要體現(xiàn)在以下幾個(gè)方面:
第一:了解企業(yè)自身的安全現(xiàn)狀
定期對(duì)系統(tǒng)進(jìn)行測(cè)評(píng),可避免系統(tǒng)漏洞在被利用之前就有針對(duì)性的采取加固措施,可以在一定程度上降低損失甚至避免損失。同時(shí),定期測(cè)評(píng),能讓企業(yè)了解自身的網(wǎng)絡(luò)安全狀況,查漏補(bǔ)缺,提前整改,防患于未然;
第二:滿足合規(guī)性方面的要求
根據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》及相關(guān)法律法規(guī)的要求,重要信息系統(tǒng)應(yīng)定期開(kāi)展等保測(cè)評(píng),開(kāi)展等保測(cè)評(píng)工作是滿足監(jiān)管單位合規(guī)方面的要求;
第三:為滿足客戶的需求
企業(yè)在系統(tǒng)交付時(shí),客戶需要安全測(cè)評(píng)報(bào)告證明系統(tǒng)的安全性,此時(shí)企業(yè)開(kāi)展了等保測(cè)評(píng)工作會(huì)使客戶的驗(yàn)收順利進(jìn)行;
第四:提高企業(yè)網(wǎng)絡(luò)安全管理水平
企業(yè)開(kāi)展等保測(cè)評(píng)不僅是對(duì)企業(yè)網(wǎng)絡(luò)技術(shù)防護(hù)措施的檢查,也是對(duì)企業(yè)網(wǎng)絡(luò)安全管理流程、人員安全意識(shí)等方面的全面審查,有助于企業(yè)建立健全網(wǎng)絡(luò)信息安全管理體系,整體提升企業(yè)安全管理的規(guī)范性和有效性。通過(guò)持續(xù)的等保測(cè)評(píng),企業(yè)可以不斷優(yōu)化和完善安全策略和管理機(jī)制;
第五:有助于企業(yè)提升客戶的信任度和增強(qiáng)企業(yè)市場(chǎng)競(jìng)爭(zhēng)力
對(duì)于涉及大量用戶敏感數(shù)據(jù)的企業(yè)來(lái)說(shuō),通過(guò)等保測(cè)評(píng)并獲得相應(yīng)等級(jí)認(rèn)證,可以增強(qiáng)合作伙伴和客戶的信任,有助于提升企業(yè)良好的行業(yè)形象,可以此獲得更多的商業(yè)機(jī)會(huì);
第六:促進(jìn)企業(yè)持續(xù)改進(jìn)
等保測(cè)評(píng)是一個(gè)動(dòng)態(tài)循環(huán)的過(guò)程,它要求企業(yè)應(yīng)定期進(jìn)行復(fù)審和調(diào)整安全策略。這有助于企業(yè)緊跟網(wǎng)絡(luò)威脅和攻擊的不斷變化,不斷更新和完善網(wǎng)絡(luò)安全保障措施,持續(xù)推動(dòng)企業(yè)在信息安全管理中不斷進(jìn)步;
第七:加強(qiáng)企業(yè)網(wǎng)絡(luò)風(fēng)險(xiǎn)控制與應(yīng)急響應(yīng)
等保測(cè)評(píng)可有助于企業(yè)更好地識(shí)別潛在風(fēng)險(xiǎn),制定合理的網(wǎng)絡(luò)風(fēng)險(xiǎn)控制措施,建立高效的網(wǎng)絡(luò)風(fēng)險(xiǎn)應(yīng)急響應(yīng)機(jī)制。在發(fā)生網(wǎng)絡(luò)安全事件時(shí),能夠立即做出應(yīng)對(duì),確保企業(yè)業(yè)務(wù)的連續(xù)性和穩(wěn)定性。
筆者:如何劃分企業(yè)信息系統(tǒng)等級(jí)?
祁志敏:根據(jù)國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》和《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》,信息系統(tǒng)的安全保護(hù)等級(jí)分為五級(jí),其中第二級(jí)(含)以上的信息系統(tǒng)應(yīng)定期進(jìn)行等保測(cè)評(píng)。具體來(lái)說(shuō):二級(jí)系統(tǒng):是指系統(tǒng)受到破壞后,會(huì)對(duì)相關(guān)公民、法人和其他組織的合法權(quán)益造成嚴(yán)重?fù)p害或特別嚴(yán)重?fù)p害,或者對(duì)社會(huì)秩序和公共利益造成危害,但不危害國(guó)家安全。以企業(yè)的網(wǎng)站來(lái)舉例,雖不存在交易信息、身份信息等隱私信息等敏感數(shù)據(jù),但一旦受到惡意攻擊,仍可能對(duì)企業(yè)本身造成不同程度的影響。這類系統(tǒng)雖然風(fēng)險(xiǎn)相對(duì)較低,但仍需進(jìn)行等保測(cè)評(píng),以確保企業(yè)基本的信息安全。三級(jí)系統(tǒng):是指受到破壞后,會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重危害,或者對(duì)國(guó)家安全造成危害。以涉及交易信息、身份信息、隱私信息等敏感數(shù)據(jù)的系統(tǒng)舉例,如政府單位業(yè)務(wù)系統(tǒng)、醫(yī)療衛(wèi)生系統(tǒng)(三甲、三乙醫(yī)院)、電商網(wǎng)站、物流平臺(tái)、貨運(yùn)網(wǎng)站等,需要每年進(jìn)行一次等保測(cè)評(píng)。
筆者:企業(yè)應(yīng)做而不做等保測(cè)評(píng)的法律風(fēng)險(xiǎn)是什么?
祁志敏:根據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第二十一條規(guī)定:國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求,履行安全保護(hù)義務(wù),保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問(wèn),防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。同時(shí),《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第五十九條也明確規(guī)定: 網(wǎng)絡(luò)運(yùn)營(yíng)者不履行本法第二十一條、第二十五條規(guī)定的網(wǎng)絡(luò)安全保護(hù)義務(wù)的,由有關(guān)主管部門(mén)責(zé)令改正,給予警告;拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的,處一萬(wàn)元以上十萬(wàn)元以下罰款,對(duì)直接負(fù)責(zé)的主管人員處五千元以上五萬(wàn)元以下罰款。
筆者:請(qǐng)給大家簡(jiǎn)單介紹一下成都市銳信安信息安全技術(shù)有限公司在等保測(cè)評(píng)業(yè)務(wù)中的功能和優(yōu)勢(shì)
祁志敏:成都市銳信安信息安全技術(shù)有限公司是四川省內(nèi)最早獲得等保測(cè)評(píng)資質(zhì)的測(cè)評(píng)機(jī)構(gòu),是經(jīng)國(guó)家認(rèn)可、公安部第三研究所、中國(guó)信息安全測(cè)評(píng)中心、中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心等權(quán)威機(jī)構(gòu)認(rèn)證的獨(dú)立第三方網(wǎng)絡(luò)信息安全服務(wù)專業(yè)公司。
公司致力于為客戶提供包括網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)、信息安全風(fēng)險(xiǎn)評(píng)估、漏洞掃描與監(jiān)測(cè)、滲透和軟件測(cè)試、安全運(yùn)維與應(yīng)急保障支撐、網(wǎng)絡(luò)信息安全咨詢、商用密碼應(yīng)用安全性評(píng)估、數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估等全方位網(wǎng)絡(luò)安全服務(wù)解決方案。多年來(lái),公司始終堅(jiān)守“用專業(yè)守護(hù)企業(yè)信息安全,用技術(shù)保障網(wǎng)絡(luò)平穩(wěn)運(yùn)行”服務(wù)理念,并先后與四川大學(xué)、電子科技大學(xué)、成都信息工程大學(xué)、四川電力科學(xué)研究院、西南科技大學(xué)等科研院校建立了長(zhǎng)期的深度合作關(guān)系,與國(guó)家反計(jì)算機(jī)入侵和防病毒研究中心、電子科技大學(xué)合作共同建立了四川教學(xué)基地,與西南科技大學(xué)、國(guó)家信息中心建成信息安全工程技術(shù)研究中心。早在2012年,公司就成為了國(guó)家信息安全等級(jí)保護(hù)領(lǐng)域權(quán)威機(jī)構(gòu)——公安部信息安全等級(jí)保護(hù)評(píng)估中心在西南地區(qū)的唯一測(cè)評(píng)業(yè)務(wù)合作伙伴,2017、2022年被評(píng)為全國(guó)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)工作表現(xiàn)突出單位。公司從成立至今,一直以“質(zhì)量第一”作為公司在質(zhì)量方面的要求,公司從獲得等保測(cè)評(píng)資質(zhì)以來(lái),從來(lái)沒(méi)有因?yàn)轫?xiàng)目質(zhì)量問(wèn)題被監(jiān)管機(jī)構(gòu)通報(bào)或暫停過(guò)資質(zhì)。同時(shí),公司擁有西南地區(qū)數(shù)量及質(zhì)量最多的中高級(jí)測(cè)評(píng)師,可保質(zhì)保量的完成用戶單位安全方面的需求。
截至目前,公司客戶遍及政府機(jī)關(guān),民航、鐵路、銀行、證券、保險(xiǎn)、通信、海關(guān)、稅務(wù)、電力、石化、衛(wèi)生、教育、交通、煙草等重點(diǎn)企事業(yè)單位,基本實(shí)現(xiàn)了網(wǎng)絡(luò)安全重點(diǎn)保護(hù)行業(yè)全覆蓋,服務(wù)單位已超五千余家。
段軍偉
版權(quán)所有?四川省質(zhì)量監(jiān)督協(xié)會(huì)官方網(wǎng)站 備案號(hào):蜀ICP備2024101844號(hào)