一. 未履行网络防护义务，多家单位遭处罚

近日，重庆永川公安经核实发现，某私立医院因未按照网络安全等级保护制度的要求履行安全保护义务造成业务瘫痪——医院HIS、LIS、PACS、EMR等后台系统业务以及医院网站等主要系统业务全部放置在同一套服务器中，未安装边界防护设备、未安装日志行为审计设备，未设置数据安全备份策略等其他网络安全技术措施，使得黑客可以通过互联网攻破医院系统后植入勒索病毒，导致医院业务停摆。

针对此案，公安部门对医院按照《中华人民共和国网络安全法》第五十九条之规定，对医院处以罚款一万元，对直接负责的主管人员处以罚款五千元的行政处罚。

▼

3月，江苏泰州某事业单位集中监控系统遭黑客攻击破坏。经查，该单位网络安全意识淡薄，曾因存在安全隐患、不落实网络安全等级保护制度被责令整改。整改期满后，未采取有效管理措施、技术防护措施。泰州警方依据《网络安全法》第21条、第59条规定，对该单位予以6万元罚款，对相关责任人予以2万元罚款，同时责令该单位停机整顿，开展定级备案、测评整改等网络安全等级保护工作。

▼

2月，四川泸州某企业网络服务器受到境外黑客勒索病毒袭击，多台办公用计算机无法使用。调查发现，该公司网络安全意识淡薄，未制定内部安全管理制度和操作规程，未确定网络安全负责人；安装的防病毒软件和防火墙存在未完全开启安全审计策略、未关闭不安全的端口、未及时更新系统安全补丁等问题；服务器未设置日志留存，无法对入侵者进行追踪调查。随后，公安部门依据《网络安全法》相关规定对该企业处以警告的行政处罚，并责令改正。

二. 为什么必须要做等级保护？

（一）政策合规要求

需要满足等保合规的行业包括政府机关、金融行业、电信运营商、能源行业、企业单位等。作为国家信息安全的基本制度，开展等级保护工作是企业义不容辞的信息安全义务。

1.《网络安全法》

第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：

（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；

（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；

（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；

（四）采取数据分类、重要数据备份和加密等措施；

（五）法律、行政法规规定的其他义务。

第二十五条 网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险；在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。

第五十九条 第一款 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。

2.《刑法》

第二百八十六条之一　【拒不履行信息网络安全管理义务罪】网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，有下列情形之一的，处三年以下有期徒刑、拘役或者管制，并处或者单处罚金：

(一)致使违法信息大量传播的；

(二)致使用户信息泄露，造成严重后果的；

(三)致使刑事案件证据灭失，情节严重的；

(四)有其他严重情节的。

单位犯前款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照前款的规定处罚。

（二）等保实施意义

1.便于发现相关机构、单位、企业的网络和信息系统与国家安全标准之间存在的差距，发现系统安全隐患与不足；

2.通过安全整改，有效提高信息安全保障能力和水平，提高网络安全防护能力，降低系统被攻击的风险。

3.调动国家、法人、其他组织、公民安全防护积极性，有利于明确信息安全责任，加强企业信息安全管理。

三. 相关标准有哪些？

（一）国家标准

《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)

《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发〔2003〕27号）

《信息安全等级保护工作的实施意见》（公通字[2004]66号）

《信息安全技术信息系统安全等级保护实施指南》GB/T 25058-2010

《信息安全等级保护管理办法》（公通字〔2007〕43号）

《信息安全技术信息系统安全等级保护基本要求》GB/T 22239-2008

《信息安全技术信息系统安全等级保护测评要求》 MSTL-JBZ-05-005

《信息安全技术网络安全等级保护定级指南》GA/T 1389—2017

《信息安全技术信息系统安全等级保护测评过程指南》GB/T 28449-2012

（二）行业相关标准

《金融行业信息安全等级保护测评服务安全指引》

《金融行业信息系统信息安全等级保护测评指南》

《金融行业信息系统信息安全等级保护实施指引》

《人民银行信息系统信息安全等级保护测评指南(试行)》

《人民银行信息系统信息安全等级保护实施指引(试行)》

《电信网和互联网安全等级保护实施指南》

《广播电视相关信息系统安全等级保护定级指南》

《广播电视相关信息系统安全等级保护基本要求》

《水利网络与信息安全体系建设基本技术要求》

《烟草行业信息系统安全等级保护基本要求》等

四. 等保测评工作实施

（一）信息系统定级

企业单位采用“自主定级原则”，遵循国家或行业定级指南对第二级以上信息系统进行定级和备案。

信息系统定级方法

（二）信息系统差距分析

通过对现有信息系统的安全现状调研和测评，发现现有系统存在的问题，同时参考等级保护的要求，找出信息系统和等级保护的差距，为后期的等级保护安全整改方案设计奠定基础。主要包括：信息系统现状调研、信息系统现状测评、信息系统差距分析报告等。

（三）信息系统整改方案

根据前期信息系统等级差距分析报告，按照等级保护要求对信息系统进行整改设计，整改设计作为信息系统整改实施的指导，指导信息系统安全建设整改，从而满足等级保护要求。

主要包括：应用安全整改、主机安全整改、数据安全整改、网络安全整改、物理安全整改、管理制度整改等

（四）信息系统正式测评

信息系统整改建设完成后，对整个信息系统进行正式的等级测评，验证信息系统是否满足信息系统等级保护要求。

信息系统测评要求：

• 三级信息系统要求每年进行一次信息安全等级保护测评。

• 四级信息系统要求每半年进行一次信息安全等级保护测评。

• 网络安全保护条例新要求三级以上系统每年进行一次等保测评，四级系统测评工作量缩小

• 新上线信息系统在正式运营之前要求进行一次信息安全等级保护测评。

• 信息系统在运维阶段出现重大调整，例如信息系统结构、功能等方面出现重大调整，要求进行一次信息安全等级保护测评。

五. 案例实践

凭借等保建设实施新思路，国舜股份为某大型保险集团客户提供等保测评服务，通过物理安全、网络安全、主机安全、应用安全、数据安全、安全管理制度、人员安全管理、系统建设及运维等单元测评，了解了系统的安全保护真实状况，及时发现安全问题并形成综合测评报告，为客户提供了相应的安防建议和解决方案，有效提高了客户的信息安全保障能力和网络安全防护能力，降低系统被攻击的风险，保证了业务平稳运行。