机房也需要开展等保工作 不必惊讶有的还真需要

2019-11-04 16:12:37 万方科技 276

  机房是一种网络基础设施的一种,机房是网络服务器(主机)的所在地方,而且很多时候机房和服务器的网络安全有很大的关联性的。因此,机房也是等保工作很重要的一环。那么,你单位的机房是否需要做等保测评,这个需要根据等保定级结果而定的,二级以上的都需要开展等保测评。

  一般来说机房和主机是应该独立分开测评的,因此,实际过程中机房和主机需要一起参与测评,具体测评费用,要根据等级保护测评机构实际情况收取,因为如果主机数量多,一起算起来,可以有一定优惠,但是具体情况,还需要根据测评机构和机房所有者的协商情况。

  一般来说机房和主机定级为等保二级以上,就应该依法开展等保测评,参与等保备案,接受公安部的监督检查。

  深圳市公安局公共信息网络安全监察分局对互联网数据中心和云平台运营方发布了《关于落实网络安全等级保护制度要求的通知》的文件。内容如下:

  根据广东省公安厅《关于传发广东省公安机关互联网数据中心和云平台“大清查”专项行动方案的通知》(粤公网发『2018』75号)的工作部署,为进一步提升我市互联网数据中心和云平台的网络安全防护水平,切实落实《网络安全法》等法律法规的要求,我局决定组织全市互联网数据中心和云平台开展网络安全等级保护工作,具体要求如下:

  一、清醒认识法律责任,严格落实法定义务

  网络安全等级保护制度是国家保障和促进信息化建设健康发展的一项基本制度,也是国家法律所规定的法定义务,《网络安全法》第二十一条明确规定“国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄漏或者窃取、篡改。”

  此外,《网络安全法》第五十九条规定“网络运营者不履行本法第二十一条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告; 拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。”《刑法》第二百八十六条之一规定“网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金。”

  各单位要清醒意识法律责任,主动落实相关工作要求,对于未按要求落实网络安全等级保护制度要求的企业,我局将依法从严予以处罚。

  附 第三级以上信息系统相关要求

  根据《信息安全等级保护管理办法》第三级以上信息系统应该达到要求和履行的责任有:

  第三章 第二十一条 第三级以上信息系统应当选择使用符合以下条件的信息安全产品:(一)产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的,在中华人民共和国境内具有独立的法人资格;(二)产品的核心技术、关键部件具有我国自主知识产权;(三)产品研制、生产单位及其主要业务、技术人员无犯罪记录; (四)产品研制、生产单位声明没有故意留有或者设置漏洞、后门、木马等程序和功能;(五)对国家安全、社会秩序、公共利益不构成危害;(六)对已列入信息安全产品认证目录的,应当取得国家信息安全产品认证机构颁发的认证证书。

  第三章 第二十二条 第三级以上信息系统应当选择符合下列条件的等级保护测评机构进行测评:(一) 在中华人民共和国境内注册成立(港澳台地区除外);(二) 由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外);(三) 从事相关检测评估工作两年以上,无违法记录;(四) 工作人员仅限于中国公民;(五) 法人及主要业务、技术人员无犯罪记录;(六) 使用的技术装备、设施应当符合本办法对信息安全产品的要求; (七) 具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度;(八) 对国家安全、社会秩序、公共利益不构成威胁。

  第六章 第四十条 第三级以上信息系统运营、使用单位违反本办法规定,有下列行为之一的,由公安机关、国家保密工作部门和国家密码工作管理部门按照职责分工责令其限期改正;逾期不改正的,给予警告,并向其上级主管部门通报情况,建议对其直接负责的主管人员和其他直接责任人员予以处理,并及时反馈处理结果: (一) 未按本办法规定备案、审批的;(二) 未按本办法规定落实安全管理制度、措施的;(三) 未按本办法规定开展系统安全状况检查的;(四) 未按本办法规定开展系统安全技术测评的;(五) 接到整改通知后,拒不整改的;(六) 未按本办法规定选择使用信息安全产品和测评机构的;(七) 未按本办法规定如实提供有关文件和证明材料的;(八) 违反保密管理规定的;(九) 违反密码管理规定的;(十) 违反本办法其他规定的。

  违反前款规定,造成严重损害的,由相关部门依照有关法律、法规予以处理。

  自建机房,还是选择租用机房,建议需要结合机房日后为什么系统提供服务,综合考虑,因为据了解,为信息系统提供的数据中心的等保等级不能低于该信息系统等保等级哦。例如您的P2P平台需要通过等保三级,那么就需要选择等保三级以上的数据中心(机房),否则会影响等保测评的评分哦。不过如果数据量已经需要自建机房,而且出于网络安全考虑,想要把信息系统数据的完整性、可用性和保密性做到更好,机房和主机开展等保三级网络安全建设是非常有必要的,不必大惊小怪。目前很多大型的数据中心都纷纷开展等保三级工作了。


标签: 等保测评