為什么要做等級測評?等級保護測評是信息系統安全的最低保障標準,做等級測評主要有以下幾個原因。
一、發現風險而整改
通過等級保護測評工作,發現單位系統內、外部存在的安全風險和脆弱性,通過整改,提高信息系統的信息安全防護能力,降低系統被各種攻擊的風險。梳理出不同等級的系統,對不同系統進行不同等級的安全防護建設,保證重要的信息系統在被攻擊時能夠很好地抵御或者被攻擊后能夠快速恢復,不造成重大損失或影響。
二、國家政策要求
等級保護是我國關于信息安全的基本政策,《國家信息化領導小組關于加強信息安全保障工作的意見》明確要求我國信息安全保障工作實行等級保護制度。《信息安全等級保護管理辦法》的通知,規定了實施信息安全等級保護制度的原則、內容、職責分工、基本要求和實施計劃,部署了實施信息安全等級保護工作的操作辦法。國家法律法規、相關政策制度要求去開展等級保護工作,不做就不合規。
三、行業內部需要
很多行業主管單位要求行業內部開展等級保護工作,目前已經下發行業要求文件的有:金融、電力、廣電、醫療、教育等,還有一些主管單位發過相關文件或通知要求去做。另外,信息安全主管單位要求去開展等級保護工作,主要有:公安、網信辦、經信委、通管局等行業主管單位。所以不做等保,沒法向相關主管單位和行業領導們交待。
四、合理規避風險
發生比較大的安全事件時,主管單位們要去現場調查,首先就會看你有沒開展等級保護工作。如果沒有,最直接的結論就是信息安全工作沒有開展好,國家最基本的信息安全等級保護工作都沒做。而買的安全設備不如實實在在拿出備案證明,拿出測評報告說服力強。
以上是域名頻道關于等級測評的介紹