金融行业信息系统信息安全等级保护实施指引_为什么要做等级保护？

点击蓝字关注我们

网络安全等级保护是全国信息安全标准化技术委员会提出，公安部信息安全等级保护评估中心牵头起草完成，主要目的是对国家秘密信息、法人、和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。

信息和信息系统的安全保护等级共分五级：第一级为自主保护级、第二级为指导保护级、第三级为监督保护级、第四级为强制保护级、第五级为专控保护级。

为什么要做等级保护？

第一、规避网络安全风险

互联网的发展同步带来网络安全事故频发，通过等级保护工作发现企业本身信息系统存在的安全隐患和不足，进行安全整改之后，提高信息系统的信息安全防护能力，降低系统被各种攻击的风险，避免信息系统核心数据丢失，及因此而带来直接或者间接的经济损失，维持企业良好的形象。

第二、行业准入门槛

越来越多的行业，主管/监管单位明确要求企业开展等级保护工作，目前已经下发行业要求文件的有：金融、电力、广电、医疗、教育、物流等行业，等保为准入门槛之一。

第三、等级保护是我国关于信息安全的基本政策

2016年11月7日第十二届全国人民代表大会常务委员会第二十四次会议通过《中华人民共和国网络安全法》，网络安全法第二十一条明确规定：国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。

2017年6月，《网络安全法》正式出台，信息安全等级保护过渡到网络安全等级保护，法规明确要求国家实施等保制度。

2019年5月，随着《信息安全技术 网络安全等级保护基本要求(GB/T 22239-2019)》《信息安全技术 网络安全等级保护测评要求(GB/T 28448-2019)》等标准的正式发布，标志着等保2.0全面启动。

对于企业来说，实施信息安全等级保护评测能够有效地提高单位信息和信息系统安全建设的整体水平，与国家安全保持一致，有效控制企业信息安全建设成本；有利于明确国家、法人和其他组织、公民的信息安全责任，加强企业信息安全管理。

对于信息系统来说，通过等级保护评测可及时发现信息系统安全状况并制定方案进行整改，当信息系统完全达到安全保护能力要求时，信息系统就基本可做到“进不来、拿不走、改不了、看不懂、跑不了、可审计、打不垮”。