10個關(guān)于等級保護(hù)的認(rèn)知誤區(qū),你都了解嗎�?
10個關(guān)于等級保護(hù)的認(rèn)知誤區(qū),你都了解嗎���?
10個關(guān)于等級保護(hù)的認(rèn)知誤區(qū)���,你都了解嗎?
互聯(lián)網(wǎng)的快速發(fā)展為企業(yè)帶來了巨大的機(jī)遇�����,同時企業(yè)也將面臨著嚴(yán)峻的挑戰(zhàn);在此背景下�,企業(yè)如果想要保證業(yè)務(wù)安全且穩(wěn)定的運(yùn)營,就必須有效提升企業(yè)信息安全����,降低信息風(fēng)險,避免網(wǎng)絡(luò)安全問題的發(fā)生����。這時網(wǎng)絡(luò)安全等級保護(hù)尤為重要,它是一個行之有效而又全面提升的整體解決方案�����。但說起等級保護(hù)��,很多人對它都存在認(rèn)知誤區(qū)
誤區(qū)一:已經(jīng)托管了云系統(tǒng)����,就不需要做等保
根據(jù)相關(guān)原則,該系統(tǒng)責(zé)任主體還是屬于網(wǎng)絡(luò)運(yùn)營者自己�,所以還是得承擔(dān)相應(yīng)的網(wǎng)絡(luò)安全責(zé)任,該進(jìn)行系統(tǒng)定級還是需要進(jìn)行定級�����,該做等保的還是得做等保。
系統(tǒng)上云或者托管后���,并不是安全責(zé)任主體轉(zhuǎn)移�,只是系統(tǒng)所在機(jī)房地址的變更��,當(dāng)然在公有云模式下���,laas���、Paas、Saas不同模式相應(yīng)的安全責(zé)任會有些區(qū)別�,但并不是沒有責(zé)任。
誤區(qū)二:系統(tǒng)定級越低越好
最終定級是根據(jù)受侵害的客體以及對客體侵害的程度來確定的�����,以事實(shí)為依據(jù)����,而不是主觀隨意定級��。定級低了,表面上要求更容易滿足���,但相應(yīng)的防護(hù)措施也相對不足�����,萬一你的系統(tǒng)不小心被攻擊破壞造成一定不良影響��,在主管部門進(jìn)行責(zé)任認(rèn)定追查時���,很有可能就會因?yàn)橄到y(tǒng)定級不合理,安全責(zé)任沒有履行到位而被處罰��。
誤區(qū)三:系統(tǒng)定級后就有人監(jiān)管了
并不是這樣的�����,所有非涉密系統(tǒng)都屬于等級保護(hù)范疇��,沒有定級不代表不需要被監(jiān)管�,相反如果沒有被納入監(jiān)管,反而會比較危險���,哪天出了事就比較難以收拾殘局�。定級后或者被監(jiān)管,主管單位會在重點(diǎn)時刻對我們的重要信息系統(tǒng)進(jìn)行一定掃描及保護(hù)��,會及時告知發(fā)現(xiàn)的一些問題�����,避免發(fā)生網(wǎng)絡(luò)安全攻擊事件;同時一些重要的政策要求或者行業(yè)會議�,也會通知你們過來參會,方便大家及時了解最新的網(wǎng)絡(luò)安全形勢����,有利于開展網(wǎng)絡(luò)安全工作。
誤區(qū)四:等級保護(hù)就是做個測評而已
等級保護(hù)工作不僅是一個測評�,而是包含:定級、備案�����、測評�、建設(shè)整改和監(jiān)督審查五項(xiàng)內(nèi)容,測評只是其中一項(xiàng)��。
誤區(qū)五:等保測評做一次就可以
并不是����,等保是一個持續(xù)性的工作,等保測評也是一個周期性的工作����,三級系統(tǒng)要求每年做一次,四級系統(tǒng)每半年做一次��,二級系統(tǒng)部分行業(yè)明確要求每兩年做一次��,沒有明確要求的行業(yè)建議大家兩年做一次��。
誤區(qū)六:只要不出事���,不做等保也沒關(guān)系
錯誤!《中華人民共和國網(wǎng)絡(luò)安全法》第二十一條國家實(shí)行網(wǎng)絡(luò)安全等級保護(hù)制度�����。網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護(hù)制度的要求����,履行下列安全保護(hù)義務(wù)�����,保障網(wǎng)絡(luò)免受干擾�����、破壞或者未經(jīng)授權(quán)的訪問,防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取��、篡改:(五)法律�、行政法規(guī)規(guī)定的其他義務(wù)。不做等保就屬于第五個行為����,國內(nèi)目前已經(jīng)有公開報道的因?yàn)闆]有落實(shí)等級保護(hù)制度而被處罰的真實(shí)案例。所以等保要及時做���,不要等���。
誤區(qū)七:內(nèi)網(wǎng),無需進(jìn)行等保
首先所有非涉密系統(tǒng)都屬于等級保護(hù)范疇��,和系統(tǒng)在外網(wǎng)還是內(nèi)網(wǎng)沒有關(guān)系;其次在內(nèi)網(wǎng)的系統(tǒng)往往其網(wǎng)絡(luò)安全技術(shù)措施做的并不好��,甚至不少系統(tǒng)已經(jīng)中毒不淺��,所以不論系統(tǒng)在內(nèi)網(wǎng)還是外網(wǎng)都得及時開展等保工作�����。
誤區(qū)八:做完等保測評����,需要花費(fèi)很多錢進(jìn)行整改
并不是,整改花多少錢取決于你的信息系統(tǒng)等級��、系統(tǒng)現(xiàn)有的安全防護(hù)措施狀態(tài)以及網(wǎng)絡(luò)運(yùn)營者對測評分?jǐn)?shù)的期望值��,不一定要花費(fèi)很多錢�。
誤區(qū)九:信息系統(tǒng)上云就安全了
很多單位認(rèn)為網(wǎng)站和信息系統(tǒng)上云后就安全了,等保不用做了����。信息系統(tǒng)是否上云,安全責(zé)任主體都不會變���。各類云平臺只提供平臺和簡單的安全措施����,安全責(zé)任主體單位還是要按等保要求落實(shí)相應(yīng)的安全工作�,只是物理和環(huán)境安全等部分安全工作由云平臺承擔(dān)。
誤區(qū)十:云系統(tǒng)是到注冊經(jīng)營地備案
云系統(tǒng)應(yīng)當(dāng)在系統(tǒng)實(shí)際運(yùn)維團(tuán)隊(duì)所在地市網(wǎng)安部門進(jìn)行系統(tǒng)備案����,因?yàn)檫@樣方便屬地公安對系統(tǒng)進(jìn)行監(jiān)管����。
