关注公众号回复“210508” 可自取“测评过程指南思维导图清晰版”
旧话重提,责任单位做等级测评过程中,一定要明白自己需要承担的责任,需要做的工作,不是花钱做甩手掌柜,若要明确这些内容,了解一下测评过程指南是非常有必要的。
首先,网络安全等级保护工作的主体直接责任在各个责任单位,在测评环节也就是委托测评机构,第三方测评机构承担的则是间接责任。《信息安全等级保护管理办法》中,明确的是各个责任单位开展网络安全等级保护的责任。
测评委托单位其实也是需要了解一些有关测评过程的,而不是仅仅测评机构的测评人员需要了解,了解测评过程指南可以更顺畅的配合测评工作,属于应知应会的范畴。同时,测评委托单位在测评过程中,也有对测评机构监督的责任。公安机关接收的测评报告,从理论上是接收的测评委托单位送交的材料,而若送交材料不符合要求或者存在弄虚作假,则测评委托单位则需要承担直接责任。
针对很多测评委托单位,还不知道怎么配合测评工作?还不知道什么是测评工作,测评工作就已经结束了,在这个过程中竟然不知道自己如何配合的工作,甚至不知道自己如何配合了工作。这也就说明,测评委托单位,也就是公安机关称之为责任单位,《网络安全法》中定义为“网络运营者”。并未在测评过程中,尽到自己应有的责任,而是在这个过程中,做了甩手掌柜。只片面希望追求测评好成绩,而不是通过扎实的工作获得最终测评好成绩,其实这是有风险的,一旦出现安全事件,则可能被加重处罚。我们整理了测评过程指南给出了一些参考,作为测评委托单位的IT人员可以多多参考之。
一定要明确,网络安全工作可以外包,但是法律责任无法外包,工作外包最多能解决经济损失,降低在经济方面的损失。但是,公安机关在网络安全事件处罚时,还有行政警告,这块内容是没有办法量化的,但是对于责任单位相关人员来说,和自己的利益切实相关的。
参考文件
《信息安全技术 网络安全等级保护基本要求》
《信息安全技术 网络安全等级保护测评要求》
《信息安全技术 网络安全等级保护测评过程指南》
《网络安全等级保护测评报告模板》(2021版)
