1�、信息系統(tǒng)上云就安全了?
很多單位認(rèn)為網(wǎng)站和信息系統(tǒng)上云后就安全了�,等保不用做了��。但實(shí)際情況是���,無(wú)論信息系統(tǒng)是否上云����,安全責(zé)任主體都不會(huì)變�。各類(lèi)云平臺(tái)只提供平臺(tái)和簡(jiǎn)單的安全措施,安全責(zé)任主體單位還是要按等保要求落實(shí)相應(yīng)的安全工作�,只是物理和環(huán)境安全等部分安全工作由云平臺(tái)承擔(dān)。不過(guò)����,云上過(guò)等保的速度會(huì)更快,比如用戶(hù)已經(jīng)上阿里云的話��,阿里云公有云平臺(tái)本身已通過(guò)三級(jí)等保,用戶(hù)就無(wú)需再關(guān)注物理環(huán)境和網(wǎng)絡(luò)環(huán)境的安全����。
2、已經(jīng)托管了云系統(tǒng)�����,系統(tǒng)就不歸我管了����,就不用做等保了?
根據(jù)“誰(shuí)運(yùn)營(yíng)誰(shuí)負(fù)責(zé)�����,誰(shuí)使用誰(shuí)負(fù)責(zé)���,誰(shuí)主管誰(shuí)負(fù)責(zé)”的原則,該系統(tǒng)責(zé)任主體還是屬于網(wǎng)絡(luò)運(yùn)營(yíng)者自己��,所以還是得承擔(dān)相應(yīng)的網(wǎng)絡(luò)安全責(zé)任��,該進(jìn)行系統(tǒng)定級(jí)的還是得定級(jí)����,該做等保的還是得做等保��。
3��、系統(tǒng)定級(jí)越低越好����?
大家都知道���,等級(jí)保護(hù)需要給系統(tǒng)定級(jí)�����,一共有五個(gè)級(jí)別�,從一到五���,級(jí)別越來(lái)越高�,要求也越來(lái)越嚴(yán)格����。所以有些人可能會(huì)以為,只要把級(jí)別定低一點(diǎn),等級(jí)保護(hù)工作就會(huì)更容易����,整改的項(xiàng)目也比較少。但事實(shí)是���,系統(tǒng)究竟屬于哪一個(gè)級(jí)別��,是需要根據(jù)受侵害的客體以及對(duì)客體侵害的程度來(lái)確定的��,以事實(shí)為根據(jù)�����。更重要的是�����,定級(jí)低了會(huì)導(dǎo)致防護(hù)工作做得不夠好�,一旦出現(xiàn)安全事故���,可是要負(fù)很大責(zé)任的。所以��,還是奉勸大家不要有這種危險(xiǎn)的想法���。
4���、等級(jí)保護(hù)工作只需要完成測(cè)評(píng)就可以嗎�����?
當(dāng)然不是����,等保工作一般要經(jīng)過(guò)定級(jí)����、備案、差距測(cè)評(píng)�、整改、測(cè)評(píng)幾個(gè)流程�。就算等保測(cè)評(píng)通過(guò)了,也并不代表著結(jié)束�����,因?yàn)閱挝贿€要接受?chē)?guó)家機(jī)關(guān)的定期監(jiān)督和檢查���。而且�����,等保工作并不是只做一次���,根據(jù)等保2.0的規(guī)定��,三級(jí)以上的系統(tǒng)�,每年都需要做一次等保工作���。
5�����、不做等?�?梢詥?���?
當(dāng)然不可以����。2019年11月1日起���,最高人民法院�����、最高人民檢察院聯(lián)合發(fā)布的《最高人民法院����、最高人民檢察院關(guān)于辦理非法利用信息網(wǎng)絡(luò)、幫助信息網(wǎng)絡(luò)犯罪活動(dòng)等刑事案件適用法律若干問(wèn)題的解釋》正式實(shí)施�����,其中規(guī)定����,不履行等保將獲最高判刑!所以�����,等保是必須做����,而不是由單位自己選擇做不做���。
6、系統(tǒng)在內(nèi)網(wǎng)��,就可以不用做等保測(cè)評(píng)��?
首先��,所有非涉密系統(tǒng)都屬于等級(jí)保護(hù)范疇�,和系統(tǒng)在外網(wǎng)還是內(nèi)網(wǎng)沒(méi)有關(guān)系;其次���,在內(nèi)網(wǎng)的系統(tǒng)往往其網(wǎng)絡(luò)安全技術(shù)措施做的并不好���,甚至還有不少系統(tǒng)已經(jīng)中毒不淺。所以不論系統(tǒng)在內(nèi)網(wǎng)還是外網(wǎng)都得及時(shí)開(kāi)展等保工作���。
7�、等保測(cè)評(píng)是給一整個(gè)單位做嗎�����?
NO����!雖然各單位要根據(jù)相關(guān)體系做好等級(jí)保護(hù)工作���,但其實(shí)等保測(cè)評(píng)是按照信息系統(tǒng)來(lái)的,并不是以單位作為一個(gè)測(cè)評(píng)整體�。一個(gè)完整的信息系統(tǒng)包括承載其的物理機(jī)房��、服務(wù)器��、主機(jī)�、應(yīng)用、數(shù)據(jù)庫(kù)�、網(wǎng)絡(luò)設(shè)備及安全設(shè)備等,當(dāng)然��,除了測(cè)評(píng)這些具體的實(shí)體對(duì)象����,還會(huì)測(cè)評(píng)相對(duì)應(yīng)的安全管理制度。
8�、等保整改要花很多錢(qián)?
不一定���!整改的具體內(nèi)容和項(xiàng)目是根據(jù)專(zhuān)家的差距測(cè)評(píng)以及國(guó)家機(jī)關(guān)的要求來(lái)確定的��,如果您目前的系統(tǒng)防護(hù)工作已經(jīng)做得非常好���,甚至都不需要花錢(qián)整改���。
9、做完等保測(cè)評(píng)就沒(méi)有安全問(wèn)題了���?
NO���!等保測(cè)評(píng)只能幫助各單位盡可能地規(guī)避各種信息系統(tǒng)的安全風(fēng)險(xiǎn),但并不能完全保證沒(méi)有風(fēng)險(xiǎn)��。同時(shí)�,就目前的情況而言,幾乎沒(méi)有任何一個(gè)單位的信息系統(tǒng)等保測(cè)評(píng)可以滿分通過(guò)����,都還是存在一定的風(fēng)險(xiǎn)。所以�����,就算通過(guò)了等保測(cè)評(píng)�,日常也要重視信息系統(tǒng)的安全防護(hù)�����。
不過(guò)���,如果單位通過(guò)了等保測(cè)評(píng),一旦發(fā)生網(wǎng)絡(luò)安全事件就是意外�����,可以在一定程度上免責(zé)����。但如果單位不做等保測(cè)評(píng)���,一旦出現(xiàn)網(wǎng)絡(luò)安全事件�,單位需要負(fù)全責(zé)����。
10、認(rèn)為備案主體是系統(tǒng)開(kāi)發(fā)商��、備案地址就是注冊(cè)地��?
①《信息安全等級(jí)保護(hù)管理辦法》規(guī)定,等級(jí)保護(hù)的主體單位為信息系統(tǒng)的運(yùn)營(yíng)��、使用單位����。備案主體一般不會(huì)是開(kāi)發(fā)商、系統(tǒng)集成商��,而是最終的用戶(hù)方���;
②有些單位的注冊(cè)地跟運(yùn)營(yíng)地不一致�����,正常情況下需要去運(yùn)營(yíng)地區(qū)的網(wǎng)安部門(mén)辦理備案手續(xù)�����。比如客戶(hù)注冊(cè)地在北京海淀區(qū)����,運(yùn)營(yíng)部門(mén)在北京朝陽(yáng)區(qū)��,則客戶(hù)需要到北京朝陽(yáng)區(qū)辦理定級(jí)備案手續(xù)。當(dāng)然����,前提是客戶(hù)在北京朝陽(yáng)區(qū)有正規(guī)辦公地址;
③對(duì)于部署在云平臺(tái)的系統(tǒng)��,在選擇備案地點(diǎn)的時(shí)候�,一般以系統(tǒng)實(shí)際運(yùn)維團(tuán)隊(duì)的所在地為準(zhǔn),因?yàn)檫@樣會(huì)方便當(dāng)?shù)毓矊?duì)系統(tǒng)進(jìn)行監(jiān)督管理����。但有一些行業(yè)比較特殊,比如一些涉及到金融安全的行業(yè)�,比如互聯(lián)網(wǎng)金融系統(tǒng)、支付系統(tǒng)���,這些行業(yè)需要屬地化管理,其備案地為系統(tǒng)的注冊(cè)地��。
黑龍江等保測(cè)評(píng)
等保咨詢(xún)熱線:15084670000,15124562202
