实用｜三个层面深度解析等保测评为何是网络安全的“香饽饽”

　　自从等保2.0相关的《信息安全技术 网络安全等级保护基本要求》《信息安全技术 网络安全等级保护测评要求》《信息安全技术 网络安全等级保护安全设计技术要求》等国家标准正式发布，等保2.0就已经是网络安全行业中的“香饽饽”了。

　　但还是有许多从业者对此了解甚少。“到底需不需要做等保？”“做了等保有什么用？”此类疑问成为不少朋友的困扰。

　　此前，小编已经给大家介绍了等保2.0的具体变化，也告诉了大家如何做等保，那么今天，小编就从法律要求、安全要求、行业要求三个层面跟大家一起聊一聊为什么等保测评成为网络安全行业的“香饽饽”。

　　等级保护制度可谓历史悠久，早在1994年国务院颁布的《计算机信息系统安全保护条例 》中就规定计算机信息系统实行安全等级保护，随后有多部法规、国家标准对信息安全进行了规定。

　　2017年《网络安全法》生效，生效后等级保护由“信息安全”等级保护转变为“网络安全”等级保护。从“信息”到“网络”的转变，从侧面反映出保护对象从硬件中的信息拓展至信息的载体。

　　同时，在《网络安全法》生效后，国家大力开展“净网行动”，就有大量因未履行等级保护义务而受到处罚的执法案例。

　　2018年11月，上海某不锈钢管有限公司互联网信息系统发生重大网络安全事件，并对公共互联网安全产生严重威胁。市通信管理局依据《网络安全法》、工业和信息化部《公共互联网网络安全威胁监测与处置办法》等有关要求，组织相关网络接入服务单位对涉事系统采取停止服务和屏蔽措施，及时阻断网络安全威胁的扩散；同时，责令涉事单位暂停相关系统的互联网信息服务，限期落实网络安全整改，在整改工作完成之前，涉事系统及其关联平台不得上线月，某学院因网络安全责任意识淡薄、联网备案制度和网络安全等级保护制度落实不到位，导致“移动图书馆馆藏书目查询平台”的页面被攻击篡改。

　　该市公安分局网安大队依据《网络安全法》，对该学院作出罚款80000元，对直接负责的主管人员作出罚款10000元的处罚；依据《计算机信息网络国际联网安全保护管理办法》，对学院“移动图书馆馆藏书目查询平台”未履行备案职责，作出停机整顿六个月的处罚。

　　2019年4月，江苏某通信技术公司因安全责任意识淡薄、网络安全等级保护制度落实不到位、管理制度和技术防护措施严重缺失，导致该公司业务管理系统遭受攻击破坏。

　　南京警方依据《网络安全法》第21条、第59条规定，对该公司予以罚款10000元，对法人袁某（男，66岁，南京人）予以罚款5000元，同时责令限期整改，落实网络安全等级保护制度。

　　2019年5月，重庆永川某私立医院服务器突然陷入瘫痪，医院业务全面“停摆”，经过民警和技术专家调查核实，该私立医院因未按照网络安全等级保护制度的要求履行安全保护义务。公安部门按照公安部“一案双查”工作要求，对医院未按照网络安全等级保护制度的要求履行安全保护义务的行为进行查处，并按照《中华人民共和国网络安全法》第59条之规定，对医院处以罚款10000元，对直接负责的主管人员处以罚款5000元的行政处罚。从诸多案例中可以看到，大量执法案例的发生都围绕着等级保护制度，并且大多是在网站发生安全事故以后，被公安部门所处罚，而且不乏对企业负责人的处罚。《网络安全法》与等级保护已经不仅是需要IT或者安全部门的事项，同样也成为企事业单位法务、合规工作中不可回避的问题。

　　等级保护制度可有效保护基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统的安全，维护国家信息安全，有效提高企业信息和信息系统安全建设的整体水平，有效控制企业信息安全建设成本，有利于企业明确国家、法人和其他组织、公民的信息安全责任，加强企业信息安全管理。

　　以新明确的等级保护对象物联网为例，新标准中对于物联网的等级保护，依据物联网架构的三个逻辑层次，即感知层、网络传输层和处理应用层，提出了具体的技术要求。

　　不管是物联网或其他等保对象，通过开展等级保护工作，按照感知层、传输层、应用层的体系框架，针对安全通用要求和物联网安全扩展要求，制定立体性、先进性和综合性的物联网等保合规解决方案，可及时发现系统与国家安全标准之间存在的差距，查明系统内部存在的安全隐患与不足之处，通过安全整改提升系统的安全防护能力，降低被攻击的风险，减少不必要的财产损失。

　　在金融、电力、广电、医疗、教育等行业，主管单位明确要求从业机构的信息系统要开展等级保护工作。

　　2016年4月，《互联网金融风险专项整治工作实施方案》中指出，由公安部负责“指导、监督、检查互联网金融从业机构落实等级保护工作，监督指导互联网金融网站依法落实网络和信息安全管理制度、措施，严厉打击侵犯用户个人信息安全的违法犯罪活动”。即所有互联网金融平台都必须通过等保测评。

　　2018年9月，国家卫生健康委员会发布《互联网诊疗管理办法（试行）》、《互联网医院管理办法（试行）》，对互联网医院信息安全、人员资质、监督管理等进行了规范，明确提出了互联网医院要实施第三级信息安全等级保护等规定。

　　2019年3月，教育部办公厅关于印发《2019年教育信息化和网络安全工作要点》的通知，提出深入贯彻落实《网络安全法》，根据落实网络安全等级保护制度的要求，进一步完善相关管理制度和标准规范。持续推进网络安全监测预警通报机制，建立常态化的通用软件安全评估机制；完善网络安全信息通报机制，加强与省级教育行政部门的信息共享，提高安全威胁信息的质量和针对性。

　　同时，等保测评是监管机构指定的备案材料，是监管检查的依据，也是国家发改委等一些单位项目验收的必要步骤。