企业以为目前的信息技术很发达,不会出现什么信息安全隐患的问题,其实这样就大错特错了,在国外甚至是国内企业的信息安全随时被国外侵入,盗取信息数据,产生对企业的不良影响。
根据《信息安全技术网络安全等级保护基本要求》(GB/T 22240-2020),安全保护等级分为以下五级:
第一等级:等级保护对象受到破坏后,会对相关公民、法人和其他组织的合法权益造成一般损害,但不危害国家安全、社会秩序和公共利益。
第二等级:等级保护对象受到破坏后,会对相关公民、法人和其他组织的合法权益造成严重损害或特别严重损害,或者对社会秩序和公共利益造成危害,但不危害国家安全。
第三等级:等级保护对象受到破坏后,会对社会秩序和公共利益造成严重危害,或者对国家安全造成危害。
第四等级:等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重危害,或者对国家安全造成严重危害。
第五等级;等级保护对象受到破坏后,会对国家安全造成特别严重危害。
网络安全等级保护制度的几个认识误区
最后来谈谈对网络安全等级保护制度的几个认识误区。
以使信息系统物理隔离就不用落实等保工作。
这是最常见的误区,所有信息系统都要落实,即使物理隔离的信息系统也要落实等保工作。一般物理隔离的信息系统,都是因为重要才隔离,顶级会比较高,反而是等保工作的重点。
而是企业信息系统瘫痪只影响企业利益,等保定级可以比较低。
等保定级一般分系统服务安全和业务信息安全两个维度,企业大多数系统服务受破坏只影响企业业务,定级要求不高。但是涉及公民个人信息的企业,业务信息安全就相对较高,特别是近几年来数据价值被越来越重视,各企业收集数据的行为越来越多,意味着企业手中数据价值越来越大,带来的安全责任当然也是越来越大,一些企业等保定级甚至可以达到4级。
三是信息系统上云就安全了。
很多单位认为网站和信息系统上云后就安全了,等保不用做了。信息系统是否上云,安全责任主体都不会变。各类云平台只提供平台和简单的安全措施,安全责任主体单位还是要按等保要求落实相应的安全工作,只是物理和环境安全等部分安全工作由云平台承担。
网络安全等级保护制度恰恰体系化地指导各信息系统根据各自责任落实相应技术措施,避免安全工作的不作为、或乱作为。从信息系统责任主体单位看,为落实信息系统安全工作提供方向和依据,一般单位的信息系统安全工作分两步,先是落实合法合规的安全工作要求,再落实业务特殊的安全需求。
领取专属 10元无门槛券
私享最新 技术干货