等保2.0正式发布后,很多互联网公司都不得不重视自己的业务信息存储安全和公司所有的信息系统的网络安全的问题了。知道要做等保测评,因为这是《网络安全法》规定的,该如何开展工作?很多互联网公司也许都摸不着边际,很糊涂。先不要着急找服务商或者测评机构,先来弄清等保2.0定级的一些内容先。
1、先弄清等保2.0的定级对象一般都有哪些?对号入座,看看自己的公司是不是这个行业的。
等级保护的定级对象主要包括基础网络设施、信息系统(例如:云计算平台、物联网系统、工业控制系统、移动互联系统、其他系统)以及数据资源对象。
按行业来说,广电、医疗、教育(在线教育)、电商、金融、物流、上市公司等等。
2、试试找找看看一下定级对象特征,看看您的公司从事的工作,是否可以找到。
1.具有确定的安全责任主体;
2.承载相对独立的业务应用;
3.具有信息系统的基本要素,应避免将某个单一组件(如终端或服务器、网络设备)作为定级对象。
3、一旦您的业务信息和信息系统服务出现安全问题,会影响到哪些客体,借此可以自行预判等级保护的级别。客体对象分别是:公民、法人和其他组织的合法权益;国家安全;社会秩序和公共利益。
根据等级保护相关管理文件,等级保护对象的安全保护等级分为以下五级:
a) 第一级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益;
b)第二级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全;
c)第三级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生特别严重损害,或者对社会秩序和公共利益造成严重损害,或者对国家安全造成损害;
d) 第四级,等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害;
e) 第五级,等级保护对象受到破坏后,会对国家安全造成特别严重损害。
4、定级备案要找哪些部门?自己公司从事业务的主管部门是哪个单位?如何开展专家评审?
等保2.0标准不再自主定级,而是通过“确定定级对象——>初步确定等级——>专家评审——>主管部门审核——>公安机关备案审查——>Zui终确定等级”这种线性的定级流程,系统定级必须经过专家评审和主管部门审核,才能到公安机关备案,整体定级更加严格。