等级保护其实就是网络安全等级保护,需要通过安全技术进行控制管理(lǐ),但也有(yǒu)很(hěn)多(duō)人对于等级保护还存在认知误區(qū),在等保工作中,我们应该注意哪些地方呢(ne)?
01、不做等保只要不出事就行?
國(guó)家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义務(wù),保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
因此,不做等保就属于不履行相关的法律义務(wù)。國(guó)内目前已经有(yǒu)公开报道的因没有(yǒu)落实等级保护制度而被处罚的真实案例,所以等保工作需要被重视起来,及时开展。
02、内网不需要做等保?业務(wù)系统不对外,不需要做等保?
从技术角度而言,内网不表示安全,并且纯粹的物(wù)理(lǐ)内网并不多(duō)见,或多(duō)或少都以直接或间接的方式与互联网有(yǒu)联系。
从法律法规的角度来说,所有(yǒu)非涉密系统都属于等级保护范畴,和系统在外网还是内网没有(yǒu)关系。
其次在内网的系统往往其网络安全技术措施做的并不好,甚至不少系统已经中毒或已经有(yǒu)危险潜伏,所以不论系统在内网还是外网都得及时开展等保工作。
03、已经托管到云的系统不需要做等保?
根据“谁运营谁负责,谁使用(yòng)谁负责,谁主管谁负责”的原则,该系统责任主體(tǐ)还是属于网络运营者自己,所以还是得承担相应的网络安全责任,该进行系统定级的还是得定级,该做等保的还是得做等保。
系统上云或托管后,并不是安全责任主體(tǐ)转移,只是系统所在机房地址的变更,当然在公有(yǒu)云模式下,Iaas、Paas、Saas不同模式相应的安全责任会有(yǒu)些區(qū)别,但是并不是没有(yǒu)责任。
04、等保就是做个测评就可(kě)以?
等级保护工作不仅只是一个测评,而是包含定级、备案、测评、建设整改和监督审查五项内容,测评只是其中一项也是开始,更重要的是通过测评寻找出差距,分(fēn)析出目前系统存在的风险,及时查漏补缺,进行安全建设整改,提高信息系统的安全防护能(néng)力,降低系统受到攻击破坏的概率。
05、系统定级越低越好?
系统的最终定级是根据受侵害的客體(tǐ)以及对客體(tǐ)侵害的程度来确定的,以事实為(wèi)根据,而不是主观随意定级。定级低了,表面上要求更容易满足,但相应的防护措施也相对不足,一旦遭受攻击,反而得不偿失。
06、一个单位只要做一个等保测评就可(kě)以?
等保测评是按照信息系统来的,以一个信息系统為(wèi)测评整體(tǐ),并不是按照一个单位去做的。
一个完整的信息系统包括承载其的物(wù)理(lǐ)机房、服務(wù)器、主机、应用(yòng)、数据库、网络设备及安全设备等,测评除了这些具體(tǐ)的实體(tǐ)对象,还包括相对应的安全管理(lǐ)制度。
07、等保测评只要做一次就可(kě)以?
等保工作是一个持续的工作,等保测评也是一个周期性的工作,三级及以上系统要求每年测评一次,二级系统部分(fēn)行业明确要求每两年测评一次,没有(yǒu)明确要求的行业一般建议两年做一次测评。
08、等保测评做完要花(huā)很(hěn)多(duō)钱去整改?
整改花(huā)多(duō)少钱取决于信息系统等级、系统现有(yǒu)安全防护措施状况以及网络运营者对测评分(fēn)数的期望值,不一定要花(huā)很(hěn)多(duō)钱。
整改的内容大體(tǐ)分(fēn)為(wèi):安全制度完善、安全加固等安全服務(wù)以及安全设备的添置。
在安全制度及安全加固上网络运营者自己可(kě)以做很(hěn)多(duō)整改工作或者委托供应商(shāng)进行加固。这些内容整改好,加上一定的安全技术措施,大致上可(kě)以满足基本符合的要求,所以花(huā)多(duō)少钱要看怎么去做或者对网络安全的期望值是多(duō)少。
09、云系统到哪里进行系统定级备案?
云系统由于部署在各类云平台上面,而云平台的实际物(wù)理(lǐ)地址往往和云系统网络运营者不在同一地址,大型云平台还有(yǒu)许多(duō)物(wù)理(lǐ)节点,很(hěn)难确定云平台的具體(tǐ)物(wù)理(lǐ)地址,因此从方便属地公安监管的角度出发,应该在系统实际运维团队所在地市网安部门进行系统备案。
避开以上误區(qū),让等级保护工作更完美。上海观初网络科(kē)技有(yǒu)限公司专注于為(wèi)企业提供信息安全解决方案的技术服務(wù)公司。关注我们带你了解更多(duō)信息安全知识。