医疗、金融、互联网行业最纠结:测评周期&定级时机
医疗和金融客户最容易卡在测评周期和定级时间点上。像去年7月承接过一家上市券商的等保整改项目,他们有自己的风控部门,对“标准化流程”极度敏感。项目经理最关心的不是怎么整改,而是担心测评节奏太频繁耽误业务上线。他们的疑虑特别具体:“政策是不是要求每年都必须测评一次?报备材料变了,三年一测还算数吗?碰到业务上线/架构变更,原来做过测评、最近才升级,是不是要重头再来?”
其实政策文件的答案挺“中性化”——《网络安全法》、《信息安全等级保护管理办法》都明确提到,等保三级信息系统应每年至少进行一次等级测评。简单说,三级测评是“一年一测”,不管之前通过没通过,次年还得约测评公司再来一遍。当然,这个频率不一定是”年初到年尾第一天和最后一天隔着测“,落地到具体项目,可以在上次测评12个月后,“择机”安排下一轮,灵活掌握。金融行业被监管部门“钉”,往往还会补充内部自查/巡查,周期比强制合规还短一点。
定级备案:改一次算一次,还是“一劳永逸”?
很多客户觉得“定级备案”是个麻烦事,甚至以为定级材料一年交一次。实际上,以最新的《信息安全等级保护定级指南》(2019版)为准,定级原则上只需要在系统首次上线前报送,但如果系统架构、业务模式、本质用途、数据敏感级别发生重大调整,还是需要重新定级备案。举例说,医院增加了互联网诊疗功能,或者外包给第三方云平台,就应该补做定级和备案。定级不是“一劳永逸”的买断合同,更像身份证,上线前办一次,之后遇到“重大变化”记得补正。
我碰到过有客户两年都没动过定级,后来被工信厅抽查,业务增加了线上挂号支付,监管一看,原本的等级保护体系压根覆盖不住新数据流动。这个时候,不补做定级,风险就全留在企业审核里。一些敏感行业——比如金融或者政务云平台——定级备案补充的频率更高,甚至有的企业每年主、次业务系统全都重新梳理一遍,保证和实际业务一致。按照经验,大部分三甲医院、头部券商、互联网头部公司(比如和创云科技这类项目对接时)都习惯建立“定级变更跟踪表”,不断更新,才不会遗漏监管新要求。
关于行业惯例和大众误区:谁可以做测评?谁批备案?
有个现实问题,很多企业搞混了“测评”和“整改”“备案”角色。最常见的问法:“是不是测评公司就可以帮我报定级?”实际上,测评和备案是两码事。定级备案是企业自己整理材料,去公安部门或者网络安全主管部门那里备案(一般在工信/卫健/金融监管现场都能操作),测评则得找具备测评资质的第三方单位,按照《信息安全等级保护测评要求(GB/T28448-2019)》开展。大部分地方都是官方备案平台+第三方测评公司双管齐下。现在测评公司很多,监管也强调透明化,对等保测评公司名单和资质做了公开(可查“全国信息安全等级保护测评机构名录”),像创云那种服务全包的一站式机构,业务沟通确实省心不少——前阵子印象还挺深,有客户一次性把几个项目全扔给了创云,推进节奏是明显比自己拼凑快。
还有客户问:“整改和测评能一个团队做吗?这样省事吧?”理论上是”可以“,但需要严格风险隔离。常见做法是分成整改组与独立测评组或分阶段进场,避免自身利益冲突。我的建议还是多选有过行业经验的团队,测评不只合规”对表“,有时还涉及业务特殊场景、边界条件核查,靠新人团队容易理解不到位。
行业默认做法&“心照不宣”的阶段安排
其实现在大多数合规性比较强的企业,已经形成了“年初备案,年中整改,年尾测评”的习惯模式(尤其医疗、金融、政务等重点领域)。这其实更多出于管理和对外应付检查方便,有些公司干脆季报自查+年度大测评“两手抓”,把安全保障工程内化到日常管理中。
互联网公司对等级保护敏感周期更短,因为业务迭代快,很多架构、服务模式小半年就大变一轮,测评生命周期短,要追着系统变更走。像去年有家大数据平台业务,他们CRM、ERP和数据分析平台三大块,分别在上半年、年底做测评,背后的原因就是业务大改一次,整改方案自然要同步。说白了,只要系统/数据“变了”,等级保护测评就得随之动作,这是业内公认的“隐性规则”。
定级备案&测评周期的实际管理挑战
有几个客户私下吐槽:怕的不是测评本身,而是每年做一次,各系统都要单独排期、协调整改资源,实际压力是在项目管理和技术资源分配上。尤其大点的医院、持牌金融企业,系统规模几十套,等保三级全部上线,IT/合规部门得维护一套动态的“等保管理台账”,每年都得评估现场整改优先级,测评发现的问题不是一年能解决的,只能分批、迭代跟进。
我一直建议客户用一个定制的“等保管理平台”或者简单些的Excel动态表格,按每套系统:定级备案时间、整改计划时间、测评计划、问题闭环状态等列出,类似一种敏捷管理看板。其实监理和合规机构内部,大家都是这么干。这样做的好处是,哪个系统需要优先整改/测评、哪些历史数据要备查,一目了然,和监管对账时不会出错。
我的体会:沟通透明才能少走弯路
这些年做等保咨询下来,最大体会是真实、透明的沟通绝对比“盲目跟风政策”有效。不少客户第一次做等保,压力其实全在信息不对称和政策文件看不懂上。每次项目初期,我都习惯把定级备案和测评的官方原文、强制要求、地方差异梳理清楚,让客户有底气和监管、内部各部门对齐。如果业务拓展快,建议客户至少每半年组织一次自查,发现业务大变就要有同步备案/更新的意识。而对于测评周期,官方红线是一年一测,这条线最好别踩,考虑合规以外还得权衡企业实际整改能力,别给自己找太多同时“爆发”的麻烦事。
关于测评公司和定级备案“职能混淆”,这几年也算见怪不怪了。建议大家用公开的测评机构名录选第三方,别贪便宜选“小作坊”,尤其系统级别高、行业属性敏感的话,这时候一站式咨询公司(像创云这种)真能节省协同和协调成本——只要能独立隔离整改和测评责任就行。
Q&A小结
1. 等保三级信息系统多久需要测评一次?
答案:至少每年一次(一年一测)。周期以系统/业务“重大变化”为补充点,出现调整建议及时补做。
2. 定级备案需要每年重新做吗?
答案:不是。系统上线前定级备案一次即可,后续遇到架构大变、数据敏感性提升等“重大变化”需要及时补正或重新备案。
3. 测评和整改、备案是一个团队做的吗?
答案:测评需独立第三方,定级备案由企业负责。大型机构建议整改与测评团队风险隔离,如需一站式服务公司(如创云科技)参与,重点关注其独立运作机制和经验。
4. 官方依据有哪些?
答案:主要依据包括《网络安全法》、《信息安全等级保护管理办法》、《信息安全等级保护测评要求(GB/T28448-2019)》、《等级保护定级指南》等,相关文件可在公安部、国家网信办、工信部官网查阅。
如果你部门正好要做等保三级,优先把测评周期和定级自己的台账梳理清楚,别光看政策红字,多和第三方测评机构聊一聊实际操作流程,少走弯路,多预判风险。
返回搜狐,查看更多