網(wǎng)絡(luò)安全等級(jí)維護(hù)近幾年或是*熱門的�����,網(wǎng)絡(luò)信息安全關(guān)系著每一個(gè)系統(tǒng)軟件的安全性�,這是每一個(gè)企業(yè)及團(tuán)隊(duì)可以去全面落實(shí)的,這里也等級(jí)保護(hù)測評(píng)的一些常見問題給大家匯總了好多個(gè)普遍錯(cuò)誤觀念����,以下屬于搜集的七個(gè)普遍錯(cuò)誤觀念:
七個(gè)疑難問題
錯(cuò)誤觀念一
一些用戶時(shí)常問:大家做了等級(jí)保護(hù)測評(píng)以后����,什么時(shí)候可以取得證書���?有人把等級(jí)保護(hù)測評(píng)相當(dāng)于安全驗(yàn)證�。
《中華人民共和國網(wǎng)絡(luò)安全法》中第二十一條明文規(guī)定:
運(yùn)營人
不難看出�����,等級(jí)保護(hù)測評(píng)并不是等同于ISO 20000系列信息技術(shù)服務(wù)管理驗(yàn)證�,也并不是于ISO27000系列信息安全管理體系驗(yàn)證。
等級(jí)保護(hù)制度是我國網(wǎng)絡(luò)安全管理制度�,是國家力量的一種體現(xiàn)��。貫徹落實(shí)等級(jí)保護(hù)制度為了能相關(guān)法律法規(guī)的合規(guī)管理要求����。
等保測評(píng)并沒有相對(duì)應(yīng)的證,怎樣才能證實(shí)信息管理系統(tǒng)早已合乎等級(jí)保護(hù)測評(píng)安全規(guī)定了啦��?
現(xiàn)階段這一般是由國家公安部委托全國一百多家測評(píng)機(jī)構(gòu)�,對(duì)信息管理系統(tǒng)開展安全測評(píng),專業(yè)測評(píng)成功后出示《等級(jí)保護(hù)測評(píng)報(bào)告》�����,拿到合乎等保安全標(biāo)準(zhǔn)的分析報(bào)告就說明該信息管理系統(tǒng)合乎等級(jí)保護(hù)測評(píng)的安全規(guī)定。
錯(cuò)誤觀念二
做了等級(jí)保護(hù)測評(píng)就沒有安全問題�。
很多人都認(rèn)為,進(jìn)行等級(jí)保護(hù)測評(píng)就萬事大吉了����。實(shí)際上,等級(jí)保護(hù)規(guī)章制度僅僅基準(zhǔn)線的需求�,根據(jù)專業(yè)測評(píng)、整頓�����,貫徹落實(shí)等級(jí)保護(hù)制度��,確實(shí)能避開絕大部分的安全隱患���。但從目前的測評(píng)報(bào)告來說��,幾乎沒有什么一個(gè)被測系統(tǒng)能全都達(dá)到等級(jí)保護(hù)規(guī)定�。
一般情況下�����,現(xiàn)階段等級(jí)保護(hù)測評(píng)環(huán)節(jié)中,只需沒有發(fā)現(xiàn)高風(fēng)險(xiǎn)安全隱患�,都能通過專業(yè)測評(píng)。
可是����,安全性是一個(gè)動(dòng)態(tài)性并非靜態(tài)的全過程,而不是通過一次專業(yè)測評(píng)����,就能一勞永逸的。
公司通過貫徹落實(shí)等保安全規(guī)定���,嚴(yán)格執(zhí)行各類安全工作的管理制度���,基本上可以做到全面的穩(wěn)定運(yùn)行。但依舊不可以百分之百確保系統(tǒng)安全性�����。
因而�����,更為重要是提高企業(yè)安全防范水平����,及時(shí)把工作做好。
錯(cuò)誤觀念三
內(nèi)部網(wǎng)系統(tǒng)軟件不用做等級(jí)測評(píng)
不少用戶的軟件都是在企業(yè)內(nèi)部網(wǎng)或是網(wǎng)絡(luò)系統(tǒng)中運(yùn)作��,因而不要以為系統(tǒng)軟件不對(duì)外就比較安全�����,而因而不去做等級(jí)保護(hù)規(guī)定���。
*先��,全部非保密系統(tǒng)軟件都是屬于等級(jí)保護(hù)測評(píng)范圍�����,及系統(tǒng)是不是以內(nèi)網(wǎng)沒關(guān)系�;《中華人民共和國網(wǎng)絡(luò)安全法》要求�,等級(jí)保護(hù)測評(píng)對(duì)象是中華人民共和國境內(nèi)基本建設(shè)、經(jīng)營���、日常維護(hù)所使用的網(wǎng)絡(luò)與信息系統(tǒng)軟件��。因而�,不論是內(nèi)部網(wǎng)或是外網(wǎng)地址系統(tǒng)軟件,都需要滿足等級(jí)保護(hù)測評(píng)安全規(guī)定�。
次之,以內(nèi)網(wǎng)系統(tǒng)通常其互聯(lián)網(wǎng)安全措施做出來的并不夠成熟����,乃至許多系統(tǒng)軟件早已“中毒了不淺”。
無論是內(nèi)部網(wǎng)系統(tǒng)軟件或是外網(wǎng)地址系統(tǒng)軟件�����,都應(yīng)該立即進(jìn)行等級(jí)保護(hù)工作中�。
錯(cuò)誤觀念四
系統(tǒng)上云或是代管
在別處就無需要做等級(jí)保護(hù)測評(píng)
現(xiàn)階段,較多的中小型企業(yè)顧客更偏向把系統(tǒng)部署在云服務(wù)平臺(tái)與IDC機(jī)房��。這種云服務(wù)平臺(tái)����、IDC機(jī)房一般都已通過等級(jí)保護(hù)測評(píng)。但是�����,依據(jù)“誰經(jīng)營誰來管�����,誰應(yīng)用誰來管���,誰主管誰負(fù)責(zé)”的基本原則����,系統(tǒng)軟件直接責(zé)任人依然也是屬于網(wǎng)絡(luò)運(yùn)營者自身�。
因此,還是要承擔(dān)法律責(zé)任網(wǎng)絡(luò)安全責(zé)任����,進(jìn)行全面的評(píng)定或進(jìn)行等級(jí)保護(hù)測評(píng)工作中。
部署到云服務(wù)平臺(tái)的軟件還需要買云服務(wù)平臺(tái)的安全保障或是第三方安全保障����,部署到IDC機(jī)房的軟件還需要買對(duì)應(yīng)的安全防護(hù)設(shè)備以適應(yīng)等保安全規(guī)定。
錯(cuò)誤觀念五
可根據(jù)自身主觀想法來評(píng)定
一些顧客擔(dān)憂:系統(tǒng)軟件評(píng)定定變高�,中后期為自己工作中提升不便,一方面級(jí)別變高��,技術(shù)性要求嚴(yán)格了����,應(yīng)該做的工作中得多;另一方面,三級(jí)系統(tǒng)軟件必須每一年還做專業(yè)測評(píng)��,也是覺得不便�����。因此惦記著系統(tǒng)軟件定下二級(jí)就行了�,自身方便。
? 現(xiàn)階段的等級(jí)保護(hù)測評(píng)目標(biāo)(信息管理系統(tǒng))的安全等級(jí)分成五個(gè)級(jí)別:
? 一級(jí)為較低等級(jí)���,五級(jí)為***(五級(jí)為預(yù)埋等級(jí)����,目前市面上已評(píng)定的軟件*高達(dá)4級(jí))����。
? 假如訂了一級(jí),不用做等級(jí)保護(hù)測評(píng)����,獨(dú)立的保護(hù)就可以。定二級(jí)以上那就需要開展等級(jí)保護(hù)測評(píng)��。
系統(tǒng)軟件級(jí)別明確應(yīng)該根據(jù)系統(tǒng)的重要性開展確定���。假如定變高����,有可能導(dǎo)致投入的消耗��;定太低了則有可能導(dǎo)致關(guān)鍵信息管理系統(tǒng)無法得到應(yīng)該有的維護(hù)���,應(yīng)當(dāng)慎重評(píng)定��。
等級(jí)保護(hù)1.0要求是獨(dú)立評(píng)定����,有主管機(jī)構(gòu)的需求主管機(jī)構(gòu)審批�����,*后申報(bào)公安部門進(jìn)行審查��。
等級(jí)保護(hù)2.0以后評(píng)定步驟增加了“專家評(píng)審會(huì)”和“主管機(jī)構(gòu)審批”兩個(gè)環(huán)節(jié)�����,那樣評(píng)定全過程將會(huì)變得越來越標(biāo)準(zhǔn)����,評(píng)定就會(huì)更加**�����。
錯(cuò)誤觀念六
不清楚系統(tǒng)軟件應(yīng)當(dāng)在哪兒辦理備案。
《信息安全等級(jí)保護(hù)管理辦法》要求���,等級(jí)保護(hù)測評(píng)的主體單位為信息系統(tǒng)經(jīng)營���、經(jīng)營單位。備案主體一般不會(huì)是房地產(chǎn)商��、系統(tǒng)集成公司����,反而是*后的客戶方。
現(xiàn)階段有一些部門的注冊(cè)地址跟經(jīng)營地不一致���,通常情況下需要經(jīng)營區(qū)域的網(wǎng)安部門申請(qǐng)辦理登記手續(xù)��。例如顧客注冊(cè)地址在北京海淀�,運(yùn)營部門在北京海淀區(qū)��,必須到北京海淀區(qū)申請(qǐng)辦理定級(jí)備案辦理手續(xù),自然����,基礎(chǔ)是北京海淀區(qū)必須要有靠譜辦公地點(diǎn)。
有一些部門的系統(tǒng)部署在云服務(wù)平臺(tái)����,云服務(wù)平臺(tái)的具體MAC地址通常和云平臺(tái)網(wǎng)絡(luò)運(yùn)營者不在同一詳細(xì)地址�����。并且���,有一些部門的運(yùn)維團(tuán)隊(duì)和申請(qǐng)注冊(cè)營業(yè)執(zhí)照地址都不一致�����。這樣的情況下�����,云平臺(tái)必須在系統(tǒng)軟件具體運(yùn)維團(tuán)隊(duì)所在城市市網(wǎng)安部門進(jìn)行全面的辦理備案�,因?yàn)樗麄儠?huì)便捷所在地公安機(jī)關(guān)系統(tǒng)進(jìn)行管理��。
因此,絕大多數(shù)情況下�����,也是需要到全面的運(yùn)維團(tuán)隊(duì)具體所在城市開展定級(jí)備案�����。不過也有一些特定行業(yè)的需求��,比如一些牽涉到金融的領(lǐng)域����,例如網(wǎng)絡(luò)金融系統(tǒng)軟件、支付平臺(tái)必須屬地化管理�,這種系統(tǒng)軟件必須在注冊(cè)地址申請(qǐng)辦理定級(jí)備案辦理手續(xù),以適應(yīng)當(dāng)?shù)氐谋O(jiān)管政策���。
錯(cuò)誤觀念七
等級(jí)保護(hù)測評(píng)整頓需比較多經(jīng)費(fèi)預(yù)算��。
一些客戶有顧慮:等級(jí)保護(hù)測評(píng)不用花很多���,可是專業(yè)測評(píng)后需開展安全建設(shè)整頓,必須比較多經(jīng)費(fèi)預(yù)算�。
事實(shí)上����,整頓所需費(fèi)用在于網(wǎng)絡(luò)運(yùn)營者的信息管理系統(tǒng)級(jí)別�����、系統(tǒng)軟件已有的安全防范措施情況及其網(wǎng)絡(luò)運(yùn)營者對(duì)專業(yè)測評(píng)分?jǐn)?shù)期待值����。
整改的具體內(nèi)容大致分成:安全管理制度健全、安全加固等安全保障及其安全防護(hù)設(shè)備的增添�����。在規(guī)章制度及安全加固上網(wǎng)絡(luò)運(yùn)營者能夠獨(dú)立多做一些整治工作或是授權(quán)委托信息系統(tǒng)集成方進(jìn)行固定���,有這兩大類具體內(nèi)容的支持,結(jié)合自身實(shí)際安全措施����,基本可以做到完全符合的觀點(diǎn)。
