什么情况下需要做等保评测

2022-07-02 13:41 阅读

相关法律和文件

《中华人民共和国网络安全法》规定:

第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改

相关国家标准:

  • GBT22240-2020 信息安全技术网络安全等级保护定级指南
  • GBT22239-2019 信息安全技术网络安全等级保护基本要求

等级保护是法律的规定,不按规定做等保,属于违法行为,且有相应的处罚措施。

定级对象

需要进行等保定级的对象包括:信息系统、通讯网络设施、数据资源(大数据)。大部分情况下,就是信息系统。

信息系统应具有以下基本特征:

  • 具有确定的主要安全责任主题
  • 承载相对独立的业务应用
  • 包含相关关联的多个资源

除了传统的业务应用信息系统,还包括

  • 云计算平台/系统
  • 物联网
  • 工业控制系统
  • 采用移动互联技术的系统(包括手机APP)

也就是说,一般情况下,等保定级的对象是某一个业务应用,比如OA系统、网站、手机APP等。

定级流程

《安全等级保护定级指南》中规定的定级流程:

安全保护等级初步确定为第二级及以上的等级保护对象,其网络运营者依据本标准组织进行专家评审、主管部门核准,最终确定其安全等级保护。
注:安全等级保护初步确定为第一级的等级保护对象,其网络运营者可以依据本标准自行确定最终安全等级保护,可不进行专家评审、主管部门核准和备案审核。

二级及以上等保对象,需要做等保测评并备案。一级则自行处理。

二级及以上的等保对象,必须由专家进行评审才能确定具体等级,不是自己觉得是什么等级就是什么等级。

定级标准

涉及到“社会秩序、公共利益”,二级等保起步,也就意味着各级政府、各事业单位基本都要做等保测评了。

而不涉及“社会秩序、公共利益、国家安全”的,二级封顶。

咨询
交流群
电话