对很多企业IT负责人来说,要不要过等保,什么时机过是一个不大不小的问题。不过担心合规问题,过吧是一笔不小的花费,而且需要年年支出。
这个问题要根据企业具体情况具体分析。
从行业来看,可以分为三类。第一类为强监管行业,比如政府、国企、金融等必须过等级保护的,原因是这些行业是强合规行业,尤其金融行业不过等级保护业务都不能开展。
第二类是有业务系统运行在互联网上,并且有个人信息数据的。比如互联网行业、零售行业,如果有对外业务,有个人信息数据且数量超过一万以上,建议要过等保,并且要过等保三级。
第三类是只有对内信息系统的行业,比如制造业,制造行业如果没有对外业务,可不过等保,如果业务应用开放在公网,但是主要是内部员工访问,并且内部员工是数千个,建议过等保二级。
其他行业可以参考以上行业。
从时间上看,等保通过一般是六个月,当然可以增加费加快进度。等保三级是每年评审一次,等保二级是两年评审一次。如果业务应用是在云上,可以过的更快一些,因为公有云的基础设施部分都符合等保要求。如果是在线下,因为要审核基础设施部分,时间会长一些。
费用方面,等保不光有评测费用,还可能要增加安全产品。安全产品方面,过等保三级,像堡垒机、数据库审计、主机安全、防火墙、WAF等通常都是需要的,等保二级要求可以低一些。
收益方面,首先当然是合规了,其次可以以通过等保为契机,提升信息安全水平。
网友评论