根據(jù)等級保護2.0標準體系�,安全等級保護對象包括基礎信息網(wǎng)絡(廣電網(wǎng)����、電信網(wǎng)等)�����、信息系統(tǒng)(采用傳統(tǒng)技術的系統(tǒng))、云計算平臺���、大數(shù)據(jù)平臺���、移動互聯(lián)、物聯(lián)網(wǎng)和工業(yè)控制系統(tǒng)等��。
為了能夠成功通過等保測評����,在正式的等保工作之前�,各單位一定要先對等級保護有所了解,避免陷入等級保護誤區(qū)����,導致等級保護工作遲遲無法落實。
今天就給大家分享幾個等保誤區(qū):
1����、信息系統(tǒng)上云就安全了?
很多單位認為網(wǎng)站和信息系統(tǒng)上云后就安全了�,等保不用做了。但實際情況是�,無論信息系統(tǒng)是否上云,安全責任主體都不會變。各類云平臺只提供平臺和簡單的安全措施�����,安全責任主體單位還是要按等保要求落實相應的安全工作���,只是物理和環(huán)境安全等部分安全工作由云平臺承擔���。不過,云上過等保的速度會更快�����,比如用戶已經(jīng)上阿里云的話���,阿里云公有云平臺本身已通過三級等保�����,用戶就無需再關注物理環(huán)境和網(wǎng)絡環(huán)境的安全�。
2���、已經(jīng)托管了云系統(tǒng)��,系統(tǒng)就不歸我管了����,就不用做等保了?
根據(jù)“誰運營誰負責�,誰使用誰負責,誰主管誰負責”的原則����,該系統(tǒng)責任主體還是屬于網(wǎng)絡運營者自己,所以還是得承擔相應的網(wǎng)絡安全責任����,該進行系統(tǒng)定級的還是得定級,該做等保的還是得做等保���。
3、系統(tǒng)定級越低越好���?
大家都知道�,等級保護需要給系統(tǒng)定級�,一共有五個級別,從一到五���,級別越來越高�,要求也越來越嚴格。所以有些人可能會以為��,只要把級別定低一點��,等級保護工作就會更容易��,整改的項目也比較少�。但事實是,系統(tǒng)究竟屬于哪一個級別��,是需要根據(jù)受侵害的客體以及對客體侵害的程度來確定的�����,以事實為根據(jù)�。更重要的是,定級低了會導致防護工作做得不夠好��,一旦出現(xiàn)安全事故�,可是要負很大責任的。所以����,還是奉勸大家不要有這種危險的想法����。
4����、等級保護工作只需要完成測評就可以嗎?
當然不是�����,等保工作一般要經(jīng)過定級、備案、差距測評���、整改��、測評幾個流程�。就算等保測評通過了,也并不代表著結束���,因為單位還要接受國家機關的定期監(jiān)督和檢查。而且���,等保工作并不是只做一次�����,根據(jù)等保2.0的規(guī)定�����,三級以上的系統(tǒng)����,每年都需要做一次等保工作。
5�、不做等保可以嗎����?
當然不可以。2019年11月1日起�����,最高人民法院�����、最高人民檢察院聯(lián)合發(fā)布的《最高人民法院����、最高人民檢察院關于辦理非法利用信息網(wǎng)絡�、幫助信息網(wǎng)絡犯罪活動等刑事案件適用法律若干問題的解釋》正式實施���,其中規(guī)定����,不履行等保將獲最高判刑�����!所以���,等保是必須做�,而不是由單位自己選擇做不做��。
6�����、系統(tǒng)在內(nèi)網(wǎng)�����,就可以不用做等保測評���?
首先�,所有非涉密系統(tǒng)都屬于等級保護范疇��,和系統(tǒng)在外網(wǎng)還是內(nèi)網(wǎng)沒有關系����;其次,在內(nèi)網(wǎng)的系統(tǒng)往往其網(wǎng)絡安全技術措施做的并不好���,甚至還有不少系統(tǒng)已經(jīng)中毒不淺���。所以不論系統(tǒng)在內(nèi)網(wǎng)還是外網(wǎng)都得及時開展等保工作。
7�、等保測評是給一整個單位做嗎?
NO����!雖然各單位要根據(jù)相關體系做好等級保護工作,但其實等保測評是按照信息系統(tǒng)來的����,并不是以單位作為一個測評整體��。一個完整的信息系統(tǒng)包括承載其的物理機房�����、服務器���、主機、應用��、數(shù)據(jù)庫��、網(wǎng)絡設備及安全設備等��,當然��,除了測評這些具體的實體對象���,還會測評相對應的安全管理制度���。
8、等保整改要花很多錢���?
不一定��!整改的具體內(nèi)容和項目是根據(jù)專家的差距測評以及國家機關的要求來確定的�,如果您目前的系統(tǒng)防護工作已經(jīng)做得非常好���,甚至都不需要花錢整改�。
9����、做完等保測評就沒有安全問題了?
NO��!等保測評只能幫助各單位盡可能地規(guī)避各種信息系統(tǒng)的安全風險����,但并不能完全保證沒有風險。同時��,就目前的情況而言���,幾乎沒有任何一個單位的信息系統(tǒng)等保測評可以滿分通過����,都還是存在一定的風險。所以��,就算通過了等保測評��,日常也要重視信息系統(tǒng)的安全防護����。
不過,如果單位通過了等保測評���,一旦發(fā)生網(wǎng)絡安全事件就是意外�,可以在一定程度上免責��。但如果單位不做等保測評�����,一旦出現(xiàn)網(wǎng)絡安全事件��,單位需要負全責�����。
10��、認為備案主體是系統(tǒng)開發(fā)商、備案地址就是注冊地�?
①《信息安全等級保護管理辦法》規(guī)定,等級保護的主體單位為信息系統(tǒng)的運營����、使用單位。備案主體一般不會是開發(fā)商���、系統(tǒng)集成商,而是最終的用戶方�;
②有些單位的注冊地跟運營地不一致,正常情況下需要去運營地區(qū)的網(wǎng)安部門辦理備案手續(xù)�����。比如客戶注冊地在北京海淀區(qū)�����,運營部門在北京朝陽區(qū)���,則客戶需要到北京朝陽區(qū)辦理定級備案手續(xù)����。當然,前提是客戶在北京朝陽區(qū)有正規(guī)辦公地址��;
③對于部署在云平臺的系統(tǒng)�����,在選擇備案地點的時候�,一般以系統(tǒng)實際運維團隊的所在地為準,因為這樣會方便當?shù)毓矊ο到y(tǒng)進行監(jiān)督管理����。但有一些行業(yè)比較特殊,比如一些涉及到金融安全的行業(yè)�����,比如互聯(lián)網(wǎng)金融系統(tǒng)����、支付系統(tǒng),這些行業(yè)需要屬地化管理��,其備案地為系統(tǒng)的注冊地��。
黑龍江等保測評
等保咨詢熱線:15084670000,15124562202
