不做等保测评一定违法

与其相忘于江湖，不如点击“蓝字”关注

从汕头网警支队公众号获悉：7月20日，汕头网警支队在对全市网络安全等级保护重点单位进行执法检查的过程中，发现汕头市某信息科技有限公司在2015年11月向公安机关报备的信息系统安全等级为第三级，测评合格后投入使用，但2016年至今未按照规定定期开展等级测评。

这可能是落实
“网络安全法”以来的首例处罚案例！
该公司的行为违反了以下法规：
1、《信息安全等级保护管理办法》第十四条款规定：
信息系统安全保护等级为第三级的信息系统应当每年至少进行一次等级测评。

2、《网络安全法》第二十一条第（五）项规定：
第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：
（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；
（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；
（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；
（四）采取数据分类、重要数据备份和加密等措施；
（五）法律、行政法规规定的其他义务。
构成了未按照规定履行网络安全等级测评义务。

依据《网络安全法》第五十九条款规定：
第五十九条 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。
给予该单位警告处罚并责令其更正。
估计这家公司的负责人已经惊起一身冷汗了，幸亏本次违法行为不严重，没有造成什么安全事故或者严重的后果，否则……

警钟长鸣：网络安全无小事

这次【汕头网警支队办理首宗适用《网络安全法》行政案件】，应该是我国落实“网络安全法”以来的首例处罚案例，具有深远意义，为各地开展等级保护工作，开展网络安全工作指明了一条可借鉴之路。

e 安在线的各位看官多数都是网络安全圈里的人，或者CIO/CTO，各位大神走过路过的同时都警个儿醒——网络安全法离你并不遥远，马上了解下自己的系统是不是做了等保？做的是几级？有没有定期做测评？可能你一直在违法，只不过没有处罚你而已！

敬畏法律，不要以身试法，等保做起来
1. 三级等保每年必须开展测评，还没有开展等级保护测评的要抓紧了
《信息安全等级保护管理办法》第十四条款规定：信息系统安全保护等级为第三级的信息系统应当每年至少进行一次等级测评。

2. 准确定级
网络系统分为五级，一到五级逐级增高。准确划分定级系统，从保护业务信息和系统服务两个维度出发，将具有统一安全责任单位的网络系统作为一个对象定级，综合考虑网络系统规模、价值等因素，根据其重要程度，以及其遭到破坏后的危害程度等因素确定安全保护等级。

3. 定级流程
初步定级——网络系统运营者根据《网络安全等级保护定级指南》（GA/T1389-2017）初步确定网络系统安全保护等级。切记，不是自主定级！
定级系统的特征：
业务处理流程的完整性
软硬件设备相对的独立性
安全管理责权的统一性
多级互联隔离性
初步定级后，接下来是专家评审——专家评审——主管部门审核——向公安机关备案——开展等级测评——安全建设整改——监督检查

4. 等保工作不能局限于一个定级备案工作，加紧开展测评及后续的安全整改，发现问题，解决问题才是根本所在。

5. 能花钱解决的事，一定不要吝啬
开展等保工作——选择等级测评机构——制定测评方案——开展测评工作——出具测评报告——专家评审确认！等保做好了，对信息系统，对单位，对用户，对个人百利而无一害，所以，能花钱解决的事，一定不要吝啬，钱要花到刀刃上！

北京益安在线
公安部信息安全等级保护评估中心合作单位
CIIPT重要信息系统安全保护人员培训
北京地区指定授权合作伙伴

点击阅读原文立即报名