等级测评工作是指测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对未涉及国家秘密的信息系统安全等级保护状况进行检测并评估其是否达到相应等级要求的活动,是信息安全等级保护制度的重要环节。等级保护测评是信息系统安全的最低保障标准,做等级测评主要有以下几个原因。
一、发现风险而整改
通过等级保护测评工作,发现单位系统内、外部存在的安全风险和脆弱性,通过整改,提高信息系统的信息安全防护能力,降低系统被各种攻击的风险。梳理出不同等级的系统,对不同系统进行不同等级的安全防护建设,保证重要的信息系统在被攻击时能够很好地抵御或者被攻击后能够快速恢复,不造成重大损失或影响。
二、国家政策要求
等级保护是我国关于信息安全的基本政策,《国家信息化领导小组关于加强信息安全保障工作的意见》明确要求我国信息安全保障工作实行等级保护制度。《信息安全等级保护管理办法》的通知,规定了实施信息安全等级保护制度的原则、内容、职责分工、基本要求和实施计划,部署了实施信息安全等级保护工作的操作办法。国家法律法规、相关政策制度要求去开展等级保护工作,不做就不合规。
三、行业内部需要
很多行业主管单位要求行业内部开展等级保护工作,目前已经下发行业要求文件的有:金融、电力、广电、医疗、教育等,还有一些主管单位发过相关文件或通知要求去做。另外,信息安全主管单位要求去开展等级保护工作,主要有:公安、网信办、经信委、通管局等行业主管单位。所以不做等保,没法向相关主管单位和行业领导们交待。
四、合理规避风险
发生比较大的安全事件时,主管单位们要去现场调查,首先就会看你有没开展等级保护工作。如果没有,最直接的结论就是信息安全工作没有开展好,国家最基本的信息安全等级保护工作都没做。而买的安全设备不如实实在在拿出备案证明,拿出测评报告说服力强。
------ End ------ |