企业可以定级吗?可以自己确定等保等级吗?
我们正在严格贯彻落实等保2.0政策,因此越来越多的企业需要办理过等保。但很多企业对于等保政策都是懵懂的,很多细节问题都是不清楚的。有企业甚至在问,可以自己可以定级吗?可以自己确定等保等级吗?
企业可以定级吗?可以自己确定等保等级吗?
【回答】:不可以。根据规定企业不可根据自己的主观意愿来定级。目前的等级保护对象(信息系统)的安全级别分为五个等级:1 级为最低级别,5 级为最高级别。如果定了 1 级,不需要做等级测评,自主进行保护即可;定 2 级以上就需要进行等级测评。系统级别的确定需要根据系统的重要性进行决定,如果定高了,有可能造成投资的浪费;定低了则有可能造成重要信息系统得不到应有的保护,应该谨慎定级。
等保 1.0 的要求是自主定级,有主管部门的需要主管部门审核,最终报送公安机关进行审核。等保 2.0 之后定级流程新增了“专家评审”和“主管部门审核”两个环节,这样定级过程将会变得更加规范,定级也会更加准确。
内容拓展 1:等级保护工作是指等保测评吗?意思一样吗?
等级保护工作包含等保测评,但不仅限于等保测评,两者意思是不一样的。等级保护工作包含定级、备案、测评、建设整改和监督审查五项内容,测评只是其中一项。等保测评只是开始,更重要的是通过测评寻找出差距,分析出目前系统存在的风险,及时查漏补缺,进行安全建设整改,提高信息系统的安全防护能力,降低系统受到攻击破坏的概率。所以等级保护工作不是只做一个等级测评就可以。
内容拓展 2:安全等保是什么意思?是ccrc吗?
不是,安全等保不是 ccrc。信息安全服务资质(CCRC)是信息安全服务机构提供安全服务的一种资格,包括法律地位、资源状况、管理水平、 技术能力等方面的要求。信息安全服务资质认证是依据国家法律法规、国家标准、行业标准和技术规范,按照认证基本规范及认证规则,对提供信息安全服务机构的信息安全服务资质进行评价。
评论