网络安全等级保护是最近几年大家比较关注的问题,网络安全关系到每一个系统的安全,这是每一个企业和团体应该去积极落实的。这里就等级保护的一些问题以下为大家梳理了七个常见误区。
01误区一
不做等保没关系,不出事就行
《中华人民共和国网络安全法》第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:(五)法律、行政法规规定的其他义务。不做等保就属于第五个行为,国内目前已经有不少公开报道的因没有落实等级保护制度而被处罚的真实案例。所以等保及时去做,不要等。
02误区二
做完等保测评就没有安全问题了
很多人认为,完成等保测评就万事大吉。其实,等保制度只是基线的要求,通过测评、整改,落实等级保护制度,确实可以规避大部分的安全风险。但就目前的测评结果来看,几乎没有任何一个被测系统能全部满足等保要求。
目前等保测评过程中,只要没发现高危安全风险,都可以通过测评。但是,安全是一个动态而非静止的过程,而不是通过一次测评,就可以一劳永逸的。企业通过落实等保安全要求,并严格执行各项安全管理的规章制度,基本能做到系统的安全稳定运行。但依然不能百分百保证系统的安全性。因此,更重要是提升企业安全防护能力,及时把工作做到位。
03误区三
内网系统不需要做等保测评
不少用户的系统都在单位内网或者专网中运行,因此不要认为系统不对外就相对安全,而因此不做等保要求。
首先,所有非涉密系统都属于等级保护范畴,和系统是否在内网没有关系;《中华人民共和国网络安全法》规定,等级保护的对象是在中华人民共和国境内建设、运营、维护和使用的网络与信息系统。因此,不管是内网还是外网系统,都需要符合等级保护安全要求。其次,在内网系统往往其网络安全技术措施做的并不够完善,甚至不少系统已经“中毒不浅”。
不论是内网系统还是外网系统,都应及时开展等保工作。
04误区四
系统上云或者托管,在其他地方就不需做等保测评
目前,比较多的小型企业客户偏向于把系统部署在云平台与IDC机房。这些云平台、IDC机房一般都通过了等保测评。不过,根据“谁运营谁负责,谁使用谁负责,谁主管谁负责”的原则,系统责任主体仍然还是属于网络运营者自己。所以,还是得承担相应的网络安全责任,进行系统定级或开展等保测评工作。
部署在云平台的系统还需要购买云平台的安全服务或者第三方安全服务,部署在IDC机房的系统还需要购买相应的安全设备以满足等保安全要求。
05误区五
系统定级越低越好
最终定级是根据受侵害的客体以及对客体侵害的程度来确定的,以事实为根据,而不是主观随意定级。定级低了,表面上要求更容易满足,但相应的防护措施也相对不足,万一你的系统不小心被攻击破坏造成一定不良影响,在主管部门进行责任认定追查时,很有可能就会因为系统定级不合理,安全责任没有履行到位而被处罚。
06误区六
不知道系统应该在哪里备案
《信息安全等级保护管理法》规定,等级保护的主体单位为信息系统的运营、使用单位。备案主体一般不会是开发商、系统集成商,而是最终的用户方。
目前有些单位的注册地跟运营地不一致,正常情况下需要去运营地区的网安部门办理备案手续。比如客户注册地在北京海淀区,运营部门在北京朝阳区,需要到北京朝阳区办理定级备案手续,当然,前提是北京朝阳区必须有正规办公地址。有些单位的系统部署在云平台,云平台的实际物理地址往往和云系统网络运营者不在同一地址。这种情况下,云系统应当在系统实际运维团队所在地市网安部门进行系统备案,因为这样会方便属地公安对系统进行监管。
所以,大部分情况下,还是需要到系统的运维人员实际所在地进行定级备案。当然也有一些特殊行业的要求,比如一些涉及到金融安全的行业,比如互联网金融系统、支付系统需要属地化管理,这些系统需要在注册地办理定级备案手续,以满足本地的监管要求。
07误区七
等保测评整改需较多经费
一些客户有疑虑:等保测评不需要花费很多,但是测评后需要进行安全建设整改,需要较多经费。
实际上,整改所需费用取决于网络运营者的信息系统等级、系统现有的安全防护措施状况以及网络运营者对测评分数的期望值。整改的内容大体分为:安全制度完善、安全加固等安全服务以及安全设备的添置。在安全制度及安全加固上网络运营者可以自主做很多整改工作或者委托系统集成方进行加固,有这两块内容的加持,结合自身安全技术措施,基本上可以达到基本符合的结论。
等级保护工作七大误区已经是老生常谈的事情了。在这里还是要提醒您,等保不是免责的安全牌,理解、使用网络安全等级保护制度标准,结合业务的特点开展体系化的网络安全管理工作才是正确的举措。
