前几天,老同学小李问我:公司能自己定个安全级别吗?这是不是意味着低级别就可以省钱了?他开了家小型互联网公司,对等保要求有些模糊。其实企业不能随意定安全等级,这是有严格规定的。
企业是不能随便给自己定安全等级的。信息系统的安全级别分五个等级,1级最低、5级最高。等级越高,意味着系统的保护措施越强,但维护成本也越高。如果企业自己定太高,可能会花不必要的钱,定太低,又保护不了重要的数据。所以说,等级要根据系统重要性来定,不能随意决定。
如果不确定系统等级,可以咨询有经验的专家,帮助分析系统的重要性。
如果系统被定为1级,那就不需要做复杂的等级测评了,企业只要做好基本的自我保护就行了,但如果定在2级以上,就要进行等级测评,由专业机构来评估,确保符合要求。这意味着企业在定级时,应该根据系统的实际需求和作用来判断,以便合理分配资金。
以前等保1.0版本的规定是企业自主定级,有主管部门的还需审核,之后再报送公安机关备案。而等保2.0则增加了专家评审和主管部门审核环节,让定级流程更加规范和精准,减少了企业随意定级的情况,增加了保护的有效性。
如果公司刚开始做等级保护,建议直接参考等保2.0的流程。
等级保护工作与等保测评的区别 很多人容易混淆等级保护工作和等保测评,其实这两者是不一样的。等级保护工作包含了定级、备案、测评、建设整改和监督等方面,测评只是其中的一环。测评之后,企业还需要根据结果进行整改,提升系统的安全防护能力,保障数据安全。所以说,等保测评只是个起点,后续的建设整改才是提升系统安全的重要环节。
最后,大家还要知道安全等级保护(等保)和信息安全服务资质认证(CCRC)并不是一回事。等保主要是保护信息系统的安全性,而CCRC则是对信息安全服务机构的资质认证,表示它们具有提供专业服务的能力。
本文链接: https://www.zqsws.com/mfwz/1083.html 未经授权,禁止转载。
上一篇:如何用20万元开一家螺蛳粉店?