数据来源:7.论等保的必要性_哔哩哔哩_bilibili
等级保护必要性
-
降低信息安全风险
等级保护旨在降低信息安全风险,提高信息系统的安全防护能力。 -
风险发现与整改
开展等级保护的最重要原因是通过测评工作,发现单位系统内外部的安全风险和脆弱性,整改后提升信息安全防护能力,降低被各种攻击的风险。 -
差异化防护建设
梳理不同等级的系统后,应对其进行相应等级的安全防护建设,确保重要信息系统在遭受攻击时能够有效抵御,或在被攻击后快速恢复应用,以避免重大损失或影响。
满足国家相关法律法规和制度要求
等级保护是我国信息安全的基本政策。2007年6月发布的《信息安全等级保护管理办法》(公通字[2007]143号)规定了实施该制度的原则、内容、职责分工、基本要求和实施计划,明确了操作办法。
2016年11月7日,第十二届全国人民代表大会常务委员会第二十四次会议通过的《中华人民共和国网络安全法》第21条明确规定国家实行网络安全等级保护制度。网络运营者应按该制度要求履行安全保护义务,保障网络免受干扰、破坏或未经授权的访问,防止数据泄露、窃取或篡改。
满足相关主管单位和行业要求
许多行业主管单位要求行业客户开展等级保护工作。目前,金融、电力、广电、医疗、教育等行业已经下发了相关文件。此外,公安、网信办、经信委、通管局等信息安全主管单位也发布了通知,要求开展等级保护工作。
合理规避或降低风险
每年都会出现一些信息安全事件,一旦发生较大安全事件,主管单位会进行现场调查,首先检查是否开展了等级保护工作。如果没有开展,最直接的结论就是信息安全工作不到位。即使购买了大量防火墙和安全设备,也不如提交备案证明和测评报告更具说服力。
一旦出现问题,企业难免会被通报批评,甚至被勒令整改。在等级保护工作开展与未开展的情况下,通报内容显然不同。举个简单的例子:一个重视安全但技术水平不足,导致被攻击的企业,与一个根本不重视安全的企业相比,情况的严重性一目了然。主观上重视安全工作的衡量标准之一就是是否开展了等级保护工作,因为这符合国家基本信息安全制度的要求。
根据《中华人民共和国网络安全法》
第二十一条:国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
第五十九条:网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
