账户信息
认证信息
费用中心
订单管理
消息管理
退出登录
控制台
首页 新闻资讯 行业资讯 什么是等保合规?等保合规标准解读

什么是等保合规?等保合规标准解读

作者:蔚可云 时间:2021-06-16

随着国家对网络安全的重视,“等保合规”一词逐渐走入企业的视野。究竟什么是等保合规?为什么一定要做等保合规?等保合规标准有哪些?怎么达到这些标准?成为很多企业迫切需要解决的问题。


一、什么是等保合规?


根据《中华人民共和国网络安全法》第二十一条的规定:国家实行网络安全等级保护制度。网络运营者应当按照网络等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。


什么是等保合规?等保合规标准解读


等保,全称信息安全等级保护,合规是结果,即合乎相关法律法规的规定。组织机构应该根据信息系统在国家安全、社会稳定、经济秩序和公共利益方面的重要程度,以及风险威胁、安全需求、安全成本等因素,根据不同的安全等级,采取相应的安全保护技术、管理措施,保护信息系统和信息安全。


等保有两个版本,一个是GB/T22239-2008《信息安全技术 信息系统安全等级保护基本要求》,另一个是GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》,前者称之为等保1.0,后者称之为等保2.0,企业应以等保2.0为等保合规的标准。


二、哪些行业必须做等保合规?


必须做等保合规的行业:金融、医疗、教育、快递


金融,尤其是互联网金融,必须过等保,否则不允许经营。各大医院的系统也必须过等保,企业要开展线上诊疗服务,同样要过等保。教育方面,985、211大学必须过等保,互联网+教育、学校网站等重要系统也必须过等保。快递行业必须过等保,否则无法换发许可证。


什么是等保合规?等保合规标准解读


需要做等保的行业:能源、通信、交通、政府机关、企事业单位、央企、征信行业、软件开发、物联网、工业数据安全、大数据、云计算等。


以上这些行业,会因为上级主管部门、甲方的要求,需要做等保合规。


三、等保合规标准


由于等保合规是一个比较复杂的解决方案,我们这里只简单的进行讨论。等保合规应满足四个方面的要求,分别是网络和通信安全、设备和计算安全、应用和数据安全、物理和环境安全。


什么是等保合规?等保合规标准解读


1.网络和通信安全


网络和通信安全主要指企业应该制定相关的安全策略,划分不同的网络区域,在网络边界或区域直接,根据访问控制策略设置访问控制规则,并采用相关的校验技术或加密技术保证通信过程中数据的完整性。


此外,还应该在关键网络节点,检测、防止和限制从外部发起的网络攻击行为,还应该对网络边界、重要网络节点进行审计,记录入侵行为、用户行为日志等。


2.设备和计算安全


对登录用户进行身份标识的鉴别,根据管理用户的角色,建立不同账户并分配权限,企业应启用安全审计功能,对重要的用户行为和重要安全事件进行审计。


与上条一样,也必须具备入侵防范的能力,还应具备防范恶意代码的能力。


3.应用和数据安全


应用和数据安全方面,应做到身份鉴别、访问控制、安全审计、保证通信传输安全外,还应该提供异地实时备份功能。


4.物理和环境安全


这一方便要求企业应制定相关的安全策略和管理制度,设置安全管理机构和人员,进行安全建设管理、安全运维管理等。


以上就是什么是等保合规,以及等保合规标准解读的全部内容了。随着互联网的不断发展,网络安全越来越重要,在可预见的将来,等保合规很有可能扩大到所有行业,企业应做好相应的准备,规避政策风险。