信息安全等级保护测评认证的几个误区
来源:本站
作者:中联信科
日期:2021-11-11 17:21:16
浏览:
557
随着网络安全事件高发以及国家对网络安全建设的重视程度越来越高,等级保护工作已经成为各涉及单位必须提上日程的事。
根据等级保护2.0标准体系,安全等级保护对象包括基础信息网络(广电网、电信网等)、信息系统(采用传统技术的系统)、云计算平台、大数据平台、移动互联、物联网和工业控制系统等。
为了能够成功通过等保测评,在正式的等保工作之前,各单位一定要先对等级保护有所了解,避免陷入等级保护误区,导致等级保护工作迟迟无法落实。
今天就给大家分享几个等保误区:
1、信息系统上云就安全了?
很多单位认为网站和信息系统上云后就安全了,等保不用做了。但实际情况是,无论信息系统是否上云,安全责任主体都不会变。各类云平台只提供平台和简单的安全措施,安全责任主体单位还是要按等保要求落实相应的安全工作,只是物理和环境安全等部分安全工作由云平台承担。不过,云上过等保的速度会更快,比如用户已经上阿里云的话,阿里云公有云平台本身已通过三级等保,用户就无需再关注物理环境和网络环境的安全。
2、已经托管了云系统,系统就不归我管了,就不用做等保了?
根据“谁运营谁负责,谁使用谁负责,谁主管谁负责”的原则,该系统责任主体还是属于网络运营者自己,所以还是得承担相应的网络安全责任,该进行系统定级的还是得定级,该做等保的还是得做等保。也就是说,只要这个信息系统是你所有并且你在使用,那么你就得给这个系统定级和做等保。
3、系统定级越低越好?
大家都知道,等级保护需要给系统定级,一共有五个级别,从一到五,级别越来越高,要求也越来越严格。所有有些人可能会想当然的以为,只要把级别定低一点,等级保护工作就会更容易,整改的项目也比较少。但事实是,系统究竟属于哪一个级别,是需要根据受侵害的客体以及对客体侵害的程度来确定的,以事实为根据。更重要的是,定级低了会导致防护工作做得不够好,一旦出现安全事故,可是要负很大责任的。所以,还是奉劝大家不要有这种危险的想法。
4、等级保护工作只需要完成测评就可以吗?
当然不是,等保工作一般要经过定级、备案、差距测评、整改、测评几个流程。就算等保测评通过了,也并不代表着结束,因为单位还要接受国家机关的定期监督和检查。而且,等保工作并不是只做一次,根据等保2.0的规定,三级以上的系统,每年都需要做一次等保工作。更为具体的要求,大家可以查询《网络安全法》。
5、不做等保可以吗?
当然不可以。这个想法也太太太危险了!!2019年11月1日起,最高人民法院、最高人民检察院联合发布的《最高人民法院、最高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》正式实施,其中规定,不履行等保将获最高判刑!所以,等保是必须做,而不是由单位自己选择做不做。
6、系统在内网,就可以不用做等保测评?
首先,所有非涉密系统都属于等级保护范畴,和系统在外网还是内网没有关系;其次,在内网的系统往往其网络安全技术措施做的并不好,甚至还有不少系统已经中毒不浅。所以不论系统在内网还是外网都得及时开展等保工作。
7、等保测评是给一整个单位做吗?
NO!虽然各单位要根据相关体系做好等级保护工作,但其实等保测评是按照信息系统来的,并不是以单位作为一个测评整体。一个完整的信息系统包括承载其的物理机房、服务器、主机、应用、数据库、网络设备及安全设备等,当然,除了测评这些具体的实体对象,还会测评相对应的安全管理制度。
就目前而言,定级为2级的系统需要测评的对象有175项,定级为3级的系统需要测评的对象有23项。下图是等保2.0的测评要求:
8、等保整改要花很多钱?
NO!整改的具体内容和项目是根据专家的差距测评以及国家机关的要求来确定的,如果您目前的系统防护工作已经做得非常好,甚至都不需要花钱整改。
9、做完等保测评就没有安全问题了?
NO!等保测评只能帮助各单位尽可能地规避各种信息系统的安全风险,但并不能完全保证没有风险。同时,就目前的情况而言,几乎没有任何一个单位的信息系统等保测评可以满分通过,都还是存在一定的风险。所以,就算通过了等保测评,日常也要重视信息系统的安全防护。
不过,如果单位通过了等保测评,一旦发生网络安全事件就是意外,可以在一定程度上免责。但如果单位不做等保测评,一旦出现网络安全事件,单位需要负全责。
10、认为备案主体是系统开发商、备案地址就是注册地
①《信息安全等级保护管理办法》规定,等级保护的主体单位为信息系统的运营、使用单位。备案主体一般不会是开发商、系统集成商,而是最终的用户方;
②有些单位的注册地跟运营地不一致,正常情况下需要去运营地区的网安部门办理备案手续。比如客户注册地在北京海淀区,运营部门在北京朝阳区,则客户需要到北京朝阳区办理定级备案手续。当然,前提是客户在北京朝阳区有正规办公地址;
③对于部署在云平台的系统,在选择备案地点的时候,一般以系统实际运维团队的所在地为准,因为这样会方便当地公安对系统进行监督管理。但有一些行业比较特殊,比如一些涉及到金融安全的行业,比如互联网金融系统、支付系统,这些行业需要属地化管理,其备案地为系统的注册地。
