物流行业为什么要求需要参与等保测评
更新时间:2021-02-22
浏览量:830

物流行业这几年得到快速的发展,很多物流的业务都会涉及到数据交互、信息存储、信息传输都是在网络上的。而互联网是一个开放性的平台,如果不做网络安全防护措施,那么被攻击的成功概率就很大了。因此,物流行业在早在2012年就已经发布了《关于进一步开展交通运输行业信息安全等级保护工作的通知》 的物流政策法规了。而随着《网络安全法》的发布以及今年的等保2.0的正式发布,把物联网、云计算等也被纳入等级保护的对象。对于物流行业来说,需要进行等保测评的应用和设备就更多了。

在《关于进一步开展交通运输行业信息安全等级保护工作的通知》里提到开展交通运输行业信息安全等级保护的工作,主要目标是:切实提高交通运输行业信息安全防护能力、隐患发现能力、应急处置能力,为交通运输行业信息化健康发展提供可靠保障。

而要做到这些,就需要相关的企业和物流事业单位配合,到2015年底前,基本建立交通运输行业信息安全等级保护常态化运行和监督检查机制,完善管理制度和技防手段。

物流行业的各类信息系统已经成为一个很重要的数据存储中心了,随着电子商务、全球经济的发展,物流行业每天产生的交易数据,不断增长的客户。在互联网和移动互联网快速发展的今天,网络安全成为不可忽视的问题,物流行业的网络安全也是需要备受关注的一个行业。

《网络安全法》和 《信息安全等级保护管理办法》明确规定信息系统运营、使用单位应当按照网络安全等级保护制度要求,履行网络安全保护义务,如果拒不执行,将会受到相应处罚。

1、等级保护定级

信息系统运营使用单位按照等级保护管理办法和定级指南,自主确定信息系统的安全保护等级。有上级主管部门的,应当经上级主管部门审批。跨省或全国统一联网运行的信息系统可以由其主管部门统一确定安全保护等级。虽然说的是自主定级,但主要还是根据系统实际情况去定级,有行业指导文件的根据指导文件来,没有文件的需要根据定级指南来,总之一句话合理定级,该是几级就是几级,不要定的高也不要定的低。

2、等级保护备案

第二级以上信息系统定级市级单位到所在地社区的市级以上公安机关办理备案手续。省级单位到省公安厅网安总队备案,各地市单位一般直接到市级网安支队备案,也有部分地市区县单位的定级备案资料是先交到区县公安相关大队的,具体根据各地市要求来。

系统安全建设 信息系统安全保护等级确定后,运营使用单位按照管理规范和技术标准,选择管理办法要求的信息安全产品,建设符合等级要求的信息安全设施,建立安全组织,制定并落实安全管理制度。

3、等级测评和整改

信息系统建设完成后,运营使用单位选择符合管理办法要求的检测机构,对信息系统安全等级状况开展等级测评。测评完成之后根据发现的安全问题及时进行整改,特别是高危风险。测评的结论分为:不符合、基本符合、符合。当然符合基本是不可能的,那是理想状态。

4、监督检查

公安机关依据信息安全等级保护管理规范及《网络安全法》相关条款,监督检查运营使用单位开展等级保护工作,定期对信息系统进行安全检查。运营使用单位应当接受公安机关的安全监督、检查、指导,如实向公安机关提供有关材料。

其中定级、备案工作原则上是由用户单位自己填写定级备案表交给公安监管部门去进行备案工作,但考虑到实际情况,绝大多数情况下都是用户单位在等级保护测评机构的协助下完成这些工作。系统安全建设和等级测评的工作不一定要严格按照这个顺序开展,可以先测评再整改,也可以先建设再测评。具体还是根据自身实际情况来办。注:选择的等级保护测评机构很重要,测评机构的权威性,测评质量直接关系到单位信息系统后期整改内容,提前发现问题提前整改,可以有效降低被攻击的风险,提高信息安全防护能力。

上述等级保护工作开展流程整理于网络,只是一个参考,具体当地实际等级保护工作的流程,要结合当地相关部门要求来开展。

物流行业这几年得到快速的发展,很多物流的业务都会涉及到数据交互、信息存储、信息传输都是在网络上的。而互联网是一个开放性的平台,如果不做网络安全防护措施,那么被攻击的成功概率就很大了。因此,物流行业在早在2012年就已经发布了《关于进一步开展交通运输行业信息安全等级保护工作的通知》 的物流政策法规了。而随着《网络安全法》的发布以及今年的等保2.0的正式发布,把物联网、云计算等也被纳入等级保护的对象。对于物流行业来说,需要进行等保测评的应用和设备就更多了。

在《关于进一步开展交通运输行业信息安全等级保护工作的通知》里提到开展交通运输行业信息安全等级保护的工作,主要目标是:切实提高交通运输行业信息安全防护能力、隐患发现能力、应急处置能力,为交通运输行业信息化健康发展提供可靠保障。

而要做到这些,就需要相关的企业和物流事业单位配合,到2015年底前,基本建立交通运输行业信息安全等级保护常态化运行和监督检查机制,完善管理制度和技防手段。

物流行业的各类信息系统已经成为一个很重要的数据存储中心了,随着电子商务、全球经济的发展,物流行业每天产生的交易数据,不断增长的客户。在互联网和移动互联网快速发展的今天,网络安全成为不可忽视的问题,物流行业的网络安全也是需要备受关注的一个行业。

《网络安全法》和 《信息安全等级保护管理办法》明确规定信息系统运营、使用单位应当按照网络安全等级保护制度要求,履行网络安全保护义务,如果拒不执行,将会受到相应处罚。

1、等级保护定级

信息系统运营使用单位按照等级保护管理办法和定级指南,自主确定信息系统的安全保护等级。有上级主管部门的,应当经上级主管部门审批。跨省或全国统一联网运行的信息系统可以由其主管部门统一确定安全保护等级。虽然说的是自主定级,但主要还是根据系统实际情况去定级,有行业指导文件的根据指导文件来,没有文件的需要根据定级指南来,总之一句话合理定级,该是几级就是几级,不要定的高也不要定的低。

2、等级保护备案

第二级以上信息系统定级市级单位到所在地社区的市级以上公安机关办理备案手续。省级单位到省公安厅网安总队备案,各地市单位一般直接到市级网安支队备案,也有部分地市区县单位的定级备案资料是先交到区县公安相关大队的,具体根据各地市要求来。

系统安全建设 信息系统安全保护等级确定后,运营使用单位按照管理规范和技术标准,选择管理办法要求的信息安全产品,建设符合等级要求的信息安全设施,建立安全组织,制定并落实安全管理制度。

3、等级测评和整改

信息系统建设完成后,运营使用单位选择符合管理办法要求的检测机构,对信息系统安全等级状况开展等级测评。测评完成之后根据发现的安全问题及时进行整改,特别是高危风险。测评的结论分为:不符合、基本符合、符合。当然符合基本是不可能的,那是理想状态。

4、监督检查

公安机关依据信息安全等级保护管理规范及《网络安全法》相关条款,监督检查运营使用单位开展等级保护工作,定期对信息系统进行安全检查。运营使用单位应当接受公安机关的安全监督、检查、指导,如实向公安机关提供有关材料。

其中定级、备案工作原则上是由用户单位自己填写定级备案表交给公安监管部门去进行备案工作,但考虑到实际情况,绝大多数情况下都是用户单位在等级保护测评机构的协助下完成这些工作。系统安全建设和等级测评的工作不一定要严格按照这个顺序开展,可以先测评再整改,也可以先建设再测评。具体还是根据自身实际情况来办。注:选择的等级保护测评机构很重要,测评机构的权威性,测评质量直接关系到单位信息系统后期整改内容,提前发现问题提前整改,可以有效降低被攻击的风险,提高信息安全防护能力。

上述等级保护工作开展流程整理于网络,只是一个参考,具体当地实际等级保护工作的流程,要结合当地相关部门要求来开展。