1. 首页
  2. 新闻中心

等保测评对哪些行业来说是硬性要求?

作者:企划组 时间:2020-03-11 阅读:2841

目前,等保2.0已在全国各地陆续开展起来。自从等保2.0相关的《信息安全技术 网络安全等级保护基本要求》《信息安全技术 网络安全等级保护测评要求》《信息安全技术 网络安全等级保护安全设计技术要求》等国家标准正式发布,等保2.0已成为网络安全行业中的必需品。

等保2.0时代,重点对云计算、移动互联、物联网、工业控制以及大数据安全等进行全面安全防护,确保关键信息基础设施安全。同时,等保2.0更加注重全方位主动防御、动态防御、整体防控和精准防护。

QQ图片20191125161202.png 

作为国家信息安全的基本制度,贯彻落实等级保护2.0是企业义不容辞的信息安全义务,而未落实等保的企业将面临被有关部门责令整改、行政处罚、暂停注册、暂停运营等处罚。

 

一、哪些行业需要进行等级保护测评?

党政机关自不用说,此外,金融、能源、电信运营商、交通、医疗、教育、游戏等行业,主管单位明确要求从业机构的信息系统要开展等级保护工作。

党政机关:各大部委、各省级政府机关、各地市级政府机关、各事业单位等;

金融行业:金融监管机构、各大银行、证券公司、保险公司等;

能源行业:电力公司、石油公司、烟草公司等;

电信行业:各大电信运营商、各省/市电信公司等;

企业单位:大中型企业、央企、上市公司等;

......

QQ图片20191125162938.png 

(一)各行业政策要求

开展网络安全等级保护工作是保护信息化发展、维护网络安全的保障,是网络安全防护工作中国家意志的体现,也是不少监管机构指定的备案材料,是监管检查的依据。

1.教育行业请注意!未完成等级保护备案的教育移动应用备案将被撤销,并予以通报!

2019年9月,教育部等八部门联合印发《关于引导规范教育移动互联网应用有序健康发展的意见》(下称“《意见》”)。其中,《意见》要求教育APP需要落实网络安全等级保护制度,进行教育业务备案,登记APP信息。

2.国家卫健委《互联网医院管理办法(试行)》规定了承载互联网医院的平台必须通过等保三级测评

2018年,国家卫健委《互联网医院管理办法(试行)》规定了承载互联网医院的平台必须通过等保三级测评。

2019年7月16日,上海市卫生健康委员会关于印发《上海市互联网医院管理办法》,其中规定“互联网医院信息系统按照《信息安全技术 网络安全等级保护基本要求》第三级标准完成定级备案和测评,每年应依法开展测评,测评通过后应提交系统年度测评报告”。此办法2019年9月1日开始实施。

3.交通运输部出台《数字交通发展规划纲要》,明确要求落实网络安全等级保护制度

2019年7月28日,交通运输部印发《数字交通发展规划纲要》,纲要中明确指出,要“落实网络安全等级保护制度,加强网络安全与信息系统同步建设,提高交通运输关键信息基础设施和重要信息系统的网络安全防护能力。”

4.国家能源局关于印发《电力行业信息安全等级保护管理办法》的通知对中国电力行业的信息安全等级保护工作做了明确规定

电力信息系统运营、使用单位应当按照《信息系统安全等级保护实施指南》(GB/T 25058-2010)具体实施等级保护工作。电力信息系统运营、使用单位应当依据本办法、《信息系统安全等级保护定级指南》(GB/T 22240-2008)和《电力行业信息系统安全等级保护定级指导意见》确定信息系统的安全保护等级。

5.中国人民银行发布《金融行业信息系统信息安全等级保护实施指引》,保障金融行业信息系统信息安全等级保护建设、测评、整改工作顺利开展

为落实国家对金融行业信息系统信息安全等级保护相关工作要求,加强金融行业信息安全管理和技术风险防范,保障金融行业信息系统信息安全等级保护建设、测评、整改工作顺利开展,中国人民银行组织编制了金融行业信息系统信息安全等级保护系列标准。

互金行业监管《办法》要求,“网络借贷信息中介机构应当按照国家网络安全相关规定和国家信息安全等级保护制度的要求,开展信息系统定级备案和等级测试。”

......

QQ图片20191125162333.png 

(二)行业教训

因未履行等级保护测评,造成了大量用户信息泄露等严重后果并受到处罚的案例比比皆是。

1.烟台市两家企业因违反《网络安全法》,对其存储的公民个人信息履行网络安全保护义务不力,被烟台市公安局芝罘分局依法处罚。

公安机关在工作中发现,烟台市两家企业运行在互联网上的自建信息系统中存有用户的个人信息合计近20万条,但系统未落实网络安全防护、安全审计、日志记录等必要的安全保护技术措施,且系统管理员账号使用弱口令,存在非常严重的安全隐患。

对两家企业依法下达整改通知书,并处罚款人民币两万元,对两家企业网络安全直接负责人和其他直接责任人员分别罚款人民币一万元,同时对为两家企业提供网络技术服务的开发区某企业予以警告,并对该公司网络安全直接责任人员罚款一万元。

 2.一高校网站遭黑客攻击,学校及负责人分别被罚款10万和5万。

该高校网站平台未留存web访问日志,服务器系统日志、安全日志留存时间不满6个月留存时限,未开展网络安全检测,平台内共发现10余个木马后门,技术防护措施极为薄弱。高校及高校负责人分别处以10万元和5万元的行政罚款。

3. 重庆某医院未履行等级保护制度,被罚款1万元。

经查,医院HIS、LIS、PACS、EMR等后台系统业务以及微信公众号后台、医院网站等主要系统业务全部放置在同一套服务器中,医院未安装边界防护设备、未安装日志行为审计设备,未设置数据安全备份策略等其他网络安全技术措施。黑客通过互联网攻破医院系统后植入勒索病毒,导致医院业务全面“停摆”。事后对医院处以罚款一万元,对直接负责的主管人员处以罚款五千元的行政处罚。

4.南阳市某县事业单位未落实网络安全等级保护制度被处罚。

南阳市某县事业单位未进行网络安全等级保护的定级备案、等级测评等工作。经多次督促整改,该单位网络安全技术措施仍落实不到位,致使网站被篡改为商业网站。对该网络运营单位处以一万元罚款,对负有直接责任的办公室主任处以五千元罚款。

......

基于此,葫芦娃集团等公司推出网络安全等级保护测评,帮助工作人员完成等级保护建设工作的同时,能够切实提升网络安全防护能力,使用户信息系统或网络满足国家等级保护基本要求,全方位助力互联网安全发展。

 

【版权提示】葫芦娃集团尊重并保护版权。部分图片/素材来源于网络,如有侵权请及时告知我们处理;若需转载,请联系我们获得授权并标明出处。