10個關于等級保護的認知誤區,你都了解嗎����?
10個關于等級保護的認知誤區,你都了解嗎���?
10個關于等級保護的認知誤區,你都了解嗎���?
互聯網的快速發展為企業帶來了巨大的機遇,企業也將面臨著嚴峻的挑戰�����;在此背景下��,企業如果想要保證業務安全且穩定的運營�,就必須有效提升企業信息安全���,降低信息風險�����,避免網絡安全問題的發生��。這時網絡安全等級保護尤為重要,它是一個行之有效而又全面提升的整體解決方案。但說起等級保護���,很多人對它都存在認知誤區
誤區一:已經托管了云系統,就不需要做等保
根據相關原則,該系統責任主體還是屬于網絡運營者自己�,還是得承擔相應的網絡安全責任��,該進行系統定級還是需要進行定級,該做等保的還是得做等保。
系統上云或者托管后��,并不是安全責任主體轉移����,只是系統所在機房地址的變更,當然在公有云模式下���,laas����、Paas�、Saas不同模式相應的安全責任會有些區別�,但并不是沒有責任。
誤區二:系統定級越低越好
最終定級是根據受侵害的客體以及對客體侵害的程度來確定的,以事實為依據,而不是主觀隨意定級����。定級低了�,表面上要求更容易滿足����,但相應的防護措施也相對不足,萬一你的系統不小心被攻擊破壞造成一定不良影響,在主管部門進行責任認定追查時�,很有可能就會因為系統定級不合理����,安全責任沒有履行到位而被處罰�����。
誤區三:系統定級后就有人監管了
并不是這樣的��,所有非涉密系統都屬于等級保護范疇,沒有定級不代表不需要被監管���,如果沒有被納入監管,反而會比較危險,哪天出了事就比較難以收拾殘局�����。定級后或者被監管�,主管單位會在重點時刻對我們的重要信息系統進行一定掃描及保護,會及時告知發現的一些問題,避免發生網絡安全攻擊事件;一些重要的政策要求或者行業會議�����,也會通知你們過來參會��,方便大家及時了解最新的網絡安全形勢,有利于開展網絡安全工作���。
誤區四:等級保護就是做個測評而已
等級保護工作不僅是一個測評,而是包含:定級�����、備案���、測評�、建設整改和監督審查五項內容,測評只是其中一項�����。
誤區五:等保測評做一次就可以
并不是�����,等保是一個持續性的工作����,等保測評也是一個周期性的工作����,三級系統要求每年做一次,四級系統每半年做一次���,二級系統部分行業明確要求每兩年做一次,沒有明確要求的行業建議大家兩年做一次�����。
誤區六:只要不出事���,不做等保也沒關系
錯誤!《中華人民共和國網絡安全法》第二十一條國家實行網絡安全等級保護制度�����。網絡運營者應當按照網絡安全等級保護制度的要求���,履行下列安全保護義務�,保障網絡免受干擾��、破壞或者未經授權的訪問����,防止網絡數據泄露或者被竊取�����、篡改:(五)法律�����、行政法規規定的其他義務。不做等保就屬于第五個行為��,國內目前已經有公開報道的因為沒有落實等級保護制度而被處罰的真實案例��。等保要及時做�����,不要等�����。
誤區七:內網�����,無需進行等保
所有非涉密系統都屬于等級保護范疇,和系統在外網還是內網沒有關系;在內網的系統往往其網絡安全技術措施做的并不好,甚至不少系統已經中毒不淺,不論系統在內網還是外網都得及時開展等保工作����。
誤區八:做完等保測評�����,需要花費很多錢進行整改
并不是,整改花多少錢取決于你的信息系統等級�、系統現有的安全防護措施狀態以及網絡運營者對測評分數的期望值��,不一定要花費很多錢。
誤區九:信息系統上云就安全了
很多單位認為網站和信息系統上云后就安全了�,等保不用做了����。信息系統是否上云��,安全責任主體都不會變��。各類云平臺只提供平臺和簡單的安全措施,安全責任主體單位還是要按等保要求落實相應的安全工作,只是物理和環境安全等部分安全工作由云平臺承擔��。
誤區十:云系統是到注冊經營地備案
云系統應當在系統實際運維團隊所在地市網安部門進行系統備案��,因為這樣方便屬地公安對系統進行監管��。
