等級保護其實就是網絡安全等級保護,需要通過安全技術進行控制管理(lǐ),但也有很多人對于等級保護還存在認知誤區,在等保工作中,我們應該注意哪些地(dì)方呢(ne)?
01、不做(zuò)等保隻要不出事就行?
國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的(de)要求,履行下列安全保護義務,保障網絡免受幹擾、破壞或者未經授權的(de)訪問,防止網絡數據洩露或者被竊取、篡改。
因此,不做(zuò)等保就屬于不履行相關的(de)法律義務。國內(nèi)目前已經有公開報道(dào)的(de)因沒有落實等級保護制度而被處罰的(de)真實案例,所以等保工作需要被重視(shì)起來,及時開展。
02、內(nèi)網不需要做(zuò)等保?業務系統不對外,不需要做(zuò)等保?
從技術角度而言,內(nèi)網不表示安全,并且純粹的(de)物理(lǐ)內(nèi)網并不多見,或多或少都以直接或間接的(de)方式與互聯網有聯系。
從法律法規的(de)角度來說,所有非涉密系統都屬于等級保護範疇,和(hé)系統在外網還是內(nèi)網沒有關系。
其次在內(nèi)網的(de)系統往往其網絡安全技術措施做(zuò)的(de)并不好,甚至不少系統已經中毒或已經有危險潛伏,所以不論系統在內(nèi)網還是外網都得及時開展等保工作。
03、已經托管到雲的(de)系統不需要做(zuò)等保?
根據“誰運營誰負責,誰使用誰負責,誰主管誰負責”的(de)原則,該系統責任主體還是屬于網絡運營者自(zì)己,所以還是得承擔相應的(de)網絡安全責任,該進行系統定級的(de)還是得定級,該做(zuò)等保的(de)還是得做(zuò)等保。
系統上雲或托管後,并不是安全責任主體轉移,隻是系統所在機房地(dì)址的(de)變更,當然在公有雲模式下,Iaas、Paas、Saas不同模式相應的(de)安全責任會有些區别,但是并不是沒有責任。
04、等保就是做(zuò)個測評就可(kě)以?
等級保護工作不僅隻是一(yī)個測評,而是包含定級、備案、測評、建設整改和(hé)監督審查五項內(nèi)容,測評隻是其中一(yī)項也是開始,更重要的(de)是通過測評尋找出差距,分析出目前系統存在的(de)風險,及時查漏補缺,進行安全建設整改,提高(gāo)信息系統的(de)安全防護能力,降低(dī)系統受到攻擊破壞的(de)概率。
05、系統定級越低(dī)越好?
系統的(de)最終定級是根據受侵害的(de)客體以及對客體侵害的(de)程度來确定的(de),以事實為(wèi)根據,而不是主觀随意定級。定級低(dī)了,表面上要求更容易滿足,但相應的(de)防護措施也相對不足,一(yī)旦遭受攻擊,反而得不償失。
06、一(yī)個單位隻要做(zuò)一(yī)個等保測評就可(kě)以?
等保測評是按照信息系統來的(de),以一(yī)個信息系統為(wèi)測評整體,并不是按照一(yī)個單位去(qù)做(zuò)的(de)。
一(yī)個完整的(de)信息系統包括承載其的(de)物理(lǐ)機房、服務器、主機、應用、數據庫、網絡設備及安全設備等,測評除了這些具體的(de)實體對象,還包括相對應的(de)安全管理(lǐ)制度。
07、等保測評隻要做(zuò)一(yī)次就可(kě)以?
等保工作是一(yī)個持續的(de)工作,等保測評也是一(yī)個周期性的(de)工作,三級及以上系統要求每年(nián)測評一(yī)次,二級系統部分行業明确要求每兩年(nián)測評一(yī)次,沒有明确要求的(de)行業一(yī)般建議兩年(nián)做(zuò)一(yī)次測評。
08、等保測評做(zuò)完要花很多錢去(qù)整改?
整改花多少錢取決于信息系統等級、系統現有安全防護措施狀況以及網絡運營者對測評分數的(de)期望值,不一(yī)定要花很多錢。
整改的(de)內(nèi)容大體分為(wèi):安全制度完善、安全加固等安全服務以及安全設備的(de)添置。
在安全制度及安全加固上網絡運營者自(zì)己可(kě)以做(zuò)很多整改工作或者委托供應商進行加固。這些內(nèi)容整改好,加上一(yī)定的(de)安全技術措施,大緻上可(kě)以滿足基本符合的(de)要求,所以花多少錢要看怎麽去(qù)做(zuò)或者對網絡安全的(de)期望值是多少。
09、雲系統到哪裏進行系統定級備案?
雲系統由于部署在各類雲平台上面,而雲平台的(de)實際物理(lǐ)地(dì)址往往和(hé)雲系統網絡運營者不在同一(yī)地(dì)址,大型雲平台還有許多物理(lǐ)節點,很難确定雲平台的(de)具體物理(lǐ)地(dì)址,因此從方便屬地(dì)公安監管的(de)角度出發,應該在系統實際運維團隊所在地(dì)市網安部門進行系統備案。
避開以上誤區,讓等級保護工作更完美。上海觀初網絡科技有限公司專注于為(wèi)企業提供信息安全解決方案的(de)技術服務公司。關注我們帶你了解更多信息安全知識。