那些单位需要做等保?
一、 法律规定的责任主体:网络运营者
《网络安全法》中的“网络运营者”是指网络的所有者、管理者和网络服务提供者。这是一个非常宽泛的定义,具体包括:
1. 国家机关和事业单位
政府机关:各级人民政府及其组成部门(如财政、税务、公安、人社、住建等)。
事业单位:学校、医院、科研院所、图书馆、博物馆等。
例如:医院的HIS(医院信息系统)、学校的教务系统、社保局的社保系统都必须做等保。
2. 企业单位(覆盖各行各业)
金融行业:银行、证券公司、保险公司、基金公司、支付机构等。
能源行业:电力公司(电网)、石油石化企业等。
交通运输行业:航空、铁路、公路、地铁、港口、物流公司等。
电信与互联网行业:电信运营商、云服务商、数据中心、互联网平台企业(电商、社交、搜索、视频、OTA等)、APP运营者。
公共服务行业:供水、供电、供气、供暖等民生企业。
制造业:大型制造业企业的ERP、SCM等核心工业控制系统。
其他:任何拥有官网、业务系统、管理信息系统(OA、CRM、ERP)或收集用户信息的企业。
3. 其他组织
社会团体、民办非企业单位等,只要其运营网络或信息系统,都属于网络运营者。
二、 哪些信息系统需要做等保?
并非单位里的每一个电脑都需要做,而是针对具体的业务系统。需要定级的信息系统主要包括:
承载核心业务的信息系统:
如电商平台的交易系统、银行的核心交易系统、医院的挂号缴费系统。
含有或处理大量个人信息的信息系统:
凡是收集、存储、处理了用户身份信息、联系方式、金融信息等敏感数据的系统,都必须做等保。这是监管的重点。
官方网站:
尤其是政府门户网站、企业官网如果具有交互功能(如留言、注册、登录)、发布重要信息,通常需要定级备案。
内部办公系统(OA)、邮件系统:
如果系统涉及内部重要文件流转、决策,一旦泄露可能造成较大影响,也需要做等保。
云计算平台/大数据平台:
云服务商(如阿里云、腾讯云)的平台本身需要做等保(通常为三级或四级)。租用云平台的企业,需要对部署在云上的自身业务系统单独做等保,这就是常说的“责任共担模型”。
工业控制系统:
如电力的发电调度系统、化工企业的生产控制系统。
三、 核心判断标准:是否“上线运行”
一个最实用的判断原则是:只要一个业务系统已经上线运行,为社会或用户提供服务,或者为自身业务提供支撑,那么这个系统及其运营单位就需要履行等保义务。
四、 等级保护流程简介
需要做等保的单位通常要完成以下五个步骤:
定级:自主确定系统的安全保护等级(共分五级,第一级最低,第五级最高)。二级及以上需要到公安机关备案。
备案:第二级及以上系统,运营单位向所在地的公安机关备案。
建设整改:根据相应等级的安全要求,对系统进行安全建设和整改。
等级测评:聘请有资质的第三方测评机构对系统进行测评,并出具测评报告(三级及以上系统每年需测评一次)。
监督检查:接受主管单位和公安机关的定期检查。
总结
| 单位类型 | 典型例子 | 通常需做等保的系统举例 |
|---|---|---|
| 国家机关 | 各级政府、委办局 | 政务服务平台、门户网站、内部办公系统 |
| 事业单位 | 高校、三甲医院 | 教务系统、HIS/LIS/PACS医疗系统 |
| 金融机构 | 银行、券商、支付公司 | 网上银行、核心交易系统、支付系统 |
| 公共服务 | 水电煤公司、公共交通 | 收费系统、调度系统 |
| 互联网企业 | 电商、社交、游戏公司 | APP后台、交易平台、用户数据库 |
| 一般企业 | 任何有官网和系统的公司 | 官网(带交互)、OA系统、CRM系统 |
结论:绝大多数单位都需要做等保。 如果您单位拥有任何在线业务系统、处理用户数据或有官方网站,都应立即启动等保工作,以满足国家法律法规的要求,避免因网络安全事件导致的法律风险和经济损失。
如果您不确定自己的系统是否需要做或应定为何级别,建议咨询专业的网络安全公司或等保测评机构。
