安全資訊

第一個(gè)原因

開(kāi)展等保的最重要原因是為了通過(guò)等級保護測評工作，發(fā)現單位系統內、外部存在的安全風(fēng)險和脆弱性，通過(guò)整改之后，提高信息系統的信息安全防護能力，降低系統被各種攻擊的風(fēng)險。一般用戶(hù)單位內部系統較多，用途不一樣，受眾群體和使用用戶(hù)也不一樣，那我們就需要通過(guò)等級保護去梳理和分析我們現有的信息系統，將不同系統分不同重要等級進(jìn)行分等級保護，這就是等保的定級工作。梳理出了不同等級的系統后，我們就要對不同系統進(jìn)行不同等級的安全防護建設，保證重要的信息系統在有攻擊的情況下能夠很好地抵御攻擊或者被攻擊后能夠快速的恢復應用，不造成重大損失或影響。

第二個(gè)原因

等級保護是我國關(guān)于信息安全的基本政策，《國家信息化領(lǐng)導小組關(guān)于加強信息安全保障工作的意見(jiàn)》（中辦發(fā)[2003]27 號，以下簡(jiǎn)稱(chēng)“27 號文件”）明確要求我國信息安全保障工作實(shí)行等級保護制度,提出“抓緊建立信息安全等級保護制度，制定信息安全等級保護的管理辦法和技術(shù)指南”。2007年6月發(fā)布的關(guān)于印發(fā)《信息安全等級保護管理辦法》的通知（公通字[2007]43 號，以下簡(jiǎn)稱(chēng)“43號文件”）規定了實(shí)施信息安全等級保護制度的原則、內容、職責分工、基本要求和實(shí)施計劃，部署了實(shí)施信息安全等級保護工作的操作辦法。2016年11月7日第十二屆全國人民代表大會(huì )常務(wù)委員會(huì )第二十四次會(huì )議通過(guò)《中華人民共和國網(wǎng)絡(luò )安全法》，網(wǎng)絡(luò )安全法第二十一條明確規定：國家實(shí)行網(wǎng)絡(luò )安全等級保護制度。網(wǎng)絡(luò )運營(yíng)者應當按照網(wǎng)絡(luò )安全等級保護制度的要求，履行下列安全保護義務(wù)，保障網(wǎng)絡(luò )免受干擾、破壞或者未經(jīng)授權的訪(fǎng)問(wèn)，防止網(wǎng)絡(luò )數據泄露或者被竊取、篡改。簡(jiǎn)單總結下就是國家法律法規、相關(guān)政策制度要求我們去開(kāi)展等級保護工作，不做就不合規，就違法。

第三個(gè)原因

很多行業(yè)主管單位要求行業(yè)客戶(hù)開(kāi)展等級保護工作，目前已經(jīng)下發(fā)行業(yè)要求文件的有：金融、電力、廣電、醫療、教育等行業(yè)，還有一些主管單位發(fā)過(guò)相關(guān)文件或通知要求去做。另外信息安全主管單位要求我們去開(kāi)展等級保護工作，主要有：公安、網(wǎng)信辦、經(jīng)信委、通管局等行業(yè)主管單位。所以不做等保的話(huà)，沒(méi)法向相關(guān)主管單位和行業(yè)領(lǐng)導們交待。

第四個(gè)原因

合理地規避風(fēng)險。每年都會(huì )出現一些大的信息安全事件，我們日常經(jīng)常聽(tīng)到或看到的有，某某網(wǎng)站網(wǎng)頁(yè)被篡改了，用戶(hù)敏感信息被泄露了，更多的一些小范圍安全事件我們不清楚，但是在發(fā)生。那么發(fā)生比較大的安全事件，首先主管單位們要去現場(chǎng)調查，首先就會(huì )看我們到底有沒(méi)開(kāi)展等級保護工作，那么如果你沒(méi)有，最直接的一個(gè)結論就是你的信息安全工作沒(méi)有開(kāi)展好，沒(méi)有開(kāi)展到位，國家最基本的信息安全等級保護工作都沒(méi)做，你說(shuō)你買(mǎi)了很多防火墻，很多安全設備，那都是說(shuō)不清道不明的，不如你實(shí)實(shí)在在拿出備案證明，拿出測評報告說(shuō)服力強。出了問(wèn)題難免就會(huì )被通報批評，被勒令下線(xiàn)整改，那么開(kāi)展了等級保護工作和沒(méi)有開(kāi)展等級保護工作被通報的內容就顯然不同了，這里就不展開(kāi)了，只可意會(huì )不可言傳。最簡(jiǎn)單的例子：一個(gè)主觀(guān)上重視安全工作但是因為技術(shù)還不夠好而被攻擊造成破壞和一個(gè)主觀(guān)上都不重視安全工作被攻擊造成破壞的情況，孰輕孰重，一目了然。但是怎么叫主觀(guān)上重視呢？等保工作有沒(méi)有開(kāi)展就是衡量的一個(gè)重要標準，因為等級保護是國家基本信息安全制度要求。