10個關(guān)于等級保護(hù)的認(rèn)知誤區(qū)�,你都了解嗎?
10個關(guān)于等級保護(hù)的認(rèn)知誤區(qū)���,你都了解嗎�?
10個關(guān)于等級保護(hù)的認(rèn)知誤區(qū)�����,你都了解嗎�����?
互聯(lián)網(wǎng)的快速發(fā)展為企業(yè)帶來了巨大的機遇����,同時企業(yè)也將面臨著嚴(yán)峻的挑戰(zhàn);在此背景下����,企業(yè)如果想要保證業(yè)務(wù)安全且穩(wěn)定的運營,就必須有效提升企業(yè)信息安全�,降低信息風(fēng)險,避免網(wǎng)絡(luò)安全問題的發(fā)生���。這時網(wǎng)絡(luò)安全等級保護(hù)尤為重要���,它是一個行之有效而又全面提升的整體解決方案。但說起等級保護(hù)���,很多人對它都存在認(rèn)知誤區(qū)
誤區(qū)一:已經(jīng)托管了云系統(tǒng)�,就不需要做等保
根據(jù)相關(guān)原則�,該系統(tǒng)責(zé)任主體還是屬于網(wǎng)絡(luò)運營者自己,所以還是得承擔(dān)相應(yīng)的網(wǎng)絡(luò)安全責(zé)任��,該進(jìn)行系統(tǒng)定級還是需要進(jìn)行定級��,該做等保的還是得做等保���。
系統(tǒng)上云或者托管后��,并不是安全責(zé)任主體轉(zhuǎn)移��,只是系統(tǒng)所在機房地址的變更�,當(dāng)然在公有云模式下���,laas�、Paas����、Saas不同模式相應(yīng)的安全責(zé)任會有些區(qū)別,但并不是沒有責(zé)任�。
誤區(qū)二:系統(tǒng)定級越低越好
最終定級是根據(jù)受侵害的客體以及對客體侵害的程度來確定的,以事實為依據(jù)��,而不是主觀隨意定級���。定級低了�,表面上要求更容易滿足���,但相應(yīng)的防護(hù)措施也相對不足,萬一你的系統(tǒng)不小心被攻擊破壞造成一定不良影響�,在主管部門進(jìn)行責(zé)任認(rèn)定追查時���,很有可能就會因為系統(tǒng)定級不合理,安全責(zé)任沒有履行到位而被處罰���。
誤區(qū)三:系統(tǒng)定級后就有人監(jiān)管了
并不是這樣的�,所有非涉密系統(tǒng)都屬于等級保護(hù)范疇�����,沒有定級不代表不需要被監(jiān)管����,相反如果沒有被納入監(jiān)管,反而會比較危險����,哪天出了事就比較難以收拾殘局。定級后或者被監(jiān)管�,主管單位會在重點時刻對我們的重要信息系統(tǒng)進(jìn)行一定掃描及保護(hù),會及時告知發(fā)現(xiàn)的一些問題���,避免發(fā)生網(wǎng)絡(luò)安全攻擊事件;同時一些重要的政策要求或者行業(yè)會議����,也會通知你們過來參會,方便大家及時了解最新的網(wǎng)絡(luò)安全形勢�,有利于開展網(wǎng)絡(luò)安全工作。
誤區(qū)四:等級保護(hù)就是做個測評而已
等級保護(hù)工作不僅是一個測評�����,而是包含:定級�����、備案��、測評���、建設(shè)整改和監(jiān)督審查五項內(nèi)容�����,測評只是其中一項���。
誤區(qū)五:等保測評做一次就可以
并不是,等保是一個持續(xù)性的工作�����,等保測評也是一個周期性的工作����,三級系統(tǒng)要求每年做一次,四級系統(tǒng)每半年做一次��,二級系統(tǒng)部分行業(yè)明確要求每兩年做一次���,沒有明確要求的行業(yè)建議大家兩年做一次�����。
誤區(qū)六:只要不出事�����,不做等保也沒關(guān)系
錯誤!《中華人民共和國網(wǎng)絡(luò)安全法》第二十一條國家實行網(wǎng)絡(luò)安全等級保護(hù)制度�。網(wǎng)絡(luò)運營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護(hù)制度的要求�,履行下列安全保護(hù)義務(wù),保障網(wǎng)絡(luò)免受干擾����、破壞或者未經(jīng)授權(quán)的訪問�����,防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取��、篡改:(五)法律��、行政法規(guī)規(guī)定的其他義務(wù)�����。不做等保就屬于第五個行為��,國內(nèi)目前已經(jīng)有公開報道的因為沒有落實等級保護(hù)制度而被處罰的真實案例��。所以等保要及時做�����,不要等����。
誤區(qū)七:內(nèi)網(wǎng)��,無需進(jìn)行等保
首先所有非涉密系統(tǒng)都屬于等級保護(hù)范疇���,和系統(tǒng)在外網(wǎng)還是內(nèi)網(wǎng)沒有關(guān)系;其次在內(nèi)網(wǎng)的系統(tǒng)往往其網(wǎng)絡(luò)安全技術(shù)措施做的并不好����,甚至不少系統(tǒng)已經(jīng)中毒不淺��,所以不論系統(tǒng)在內(nèi)網(wǎng)還是外網(wǎng)都得及時開展等保工作�����。
誤區(qū)八:做完等保測評����,需要花費很多錢進(jìn)行整改
并不是,整改花多少錢取決于你的信息系統(tǒng)等級�、系統(tǒng)現(xiàn)有的安全防護(hù)措施狀態(tài)以及網(wǎng)絡(luò)運營者對測評分?jǐn)?shù)的期望值,不一定要花費很多錢��。
誤區(qū)九:信息系統(tǒng)上云就安全了
很多單位認(rèn)為網(wǎng)站和信息系統(tǒng)上云后就安全了��,等保不用做了�。信息系統(tǒng)是否上云,安全責(zé)任主體都不會變�����。各類云平臺只提供平臺和簡單的安全措施,安全責(zé)任主體單位還是要按等保要求落實相應(yīng)的安全工作����,只是物理和環(huán)境安全等部分安全工作由云平臺承擔(dān)。
誤區(qū)十:云系統(tǒng)是到注冊經(jīng)營地備案
云系統(tǒng)應(yīng)當(dāng)在系統(tǒng)實際運維團(tuán)隊所在地市網(wǎng)安部門進(jìn)行系統(tǒng)備案�����,因為這樣方便屬地公安對系統(tǒng)進(jìn)行監(jiān)管����。
