1�����、云平臺布設系統(tǒng)應在系統(tǒng)實際運維團隊所在地市網安部門進行系統(tǒng)定級備案
概況:現(xiàn)在已經是各種云平臺大行其道的時代,很多企事業(yè)單位都選擇了將自己的系統(tǒng)布設在云端�����,這就會出現(xiàn)一個很實際的問題:布設運營單位和云平臺的實際物理地址很有可能地址并不相同,還避免不了的出現(xiàn)大型云平臺物理節(jié)點眾多���,無法確定具體地址的情況��。在這種情況下����,云系統(tǒng)應該選擇去哪個注冊地址備案呢�?如果再出現(xiàn)云系統(tǒng)的運維團隊不在企事業(yè)所在的注冊地辦公又咋辦?去企事業(yè)單位的注冊地址備案么���?
正確做法:企事業(yè)單位建設的云系統(tǒng)應該去該系統(tǒng)的真正運行和維護團隊所在地市的網絡安全部門進行系統(tǒng)備案����,這樣更方便所屬地公安機關對云系統(tǒng)進行有效的監(jiān)管��。
拓展知識:如果需要定級的對象布設再云端����,那么需要將云端的服務方云計算平臺和租戶方分別作為單獨定級的對象進行定級。
2���、無論系統(tǒng)放在哪里�,都需要對網絡運營者進行系統(tǒng)定級和等級保護
概況:目前市面上存在很多云,分成公有云和私有云��,但無論系統(tǒng)是存在云端還是托管在IDC機房���,系統(tǒng)創(chuàng)建者往往覺得系統(tǒng)已經不存在于自己的機房,系統(tǒng)的安全運維就與自己無關��,所以可以不用做等保等工作了�����。
正確做法:“誰運營誰負責����,誰使用誰負責,誰主管誰負責”是基本原則�,系統(tǒng)無論存放在哪里,它的責任主體都應該屬于該系統(tǒng)真正的網絡運營方�����,必須承擔相關網絡安全責任�����,都需要按照相關要求積極對系統(tǒng)進行定級、等保等工作�。
拓展知識:雖然針對不同模式的系統(tǒng)會有安全責任的區(qū)別,但系統(tǒng)的安全責任并沒有發(fā)生主題轉移��,網絡運營方還是需要擔負起相應的責任���。(系統(tǒng)模式包括Saas���、Iaas、Paas等)
3���、系統(tǒng)定二級還是三級��,是以事實為依據(jù)���,非人為決定
概況:在現(xiàn)實情況中,很多企事業(yè)單位在給系統(tǒng)定級時�����,都希望能選擇低級別�,因為技術要求不高,相關工作量少����,測評的間隔時間更長����,后期麻煩少�。所以希望定低級別,更省事�。
正確做法:系統(tǒng)定級是根據(jù)受侵害的客體以及對客體侵害的程度來確定的�,是依據(jù)事實基礎而定。如果擅自將級別定低�����,可能導致系統(tǒng)的安全防護措施達不到抵制攻擊破壞的要求�����,防護能力不足�,造成不好的影響。這是網絡運營方沒有好好落實網絡安全保護義務的一種表現(xiàn)���,直接可能導致主管部門對其追責�,甚至進行處罰——是不是太得不償失了�����!所以還是以事實為依據(jù),正確定級為上策�����。
拓展知識:系統(tǒng)定級過程會越來越規(guī)范���,等保2.0已經發(fā)布���,定級流程里面已經加入了專家和主管部門審核的環(huán)節(jié),未來系統(tǒng)定級也會越來越準確��。
4����、系統(tǒng)不定級也存在監(jiān)管,定級能幫助運營單位發(fā)現(xiàn)問題�、開展工作
概況:很多企事業(yè)單位不希望給自己的系統(tǒng)定級,因為不希望總是接受主管單位的檢查�����,增加很多在他們看來沒必要的麻煩,怕處處受限�,感覺不好。
正確做法:只要系統(tǒng)不涉密就屬于等級保護范疇有����,主管單位會監(jiān)管所有的系統(tǒng),無論是否定級�����。而且如果出事了�,沒有定級的系統(tǒng)會更麻煩。主管單位會為定級系統(tǒng)的重要信息進行定期的掃描和保護��,如果發(fā)現(xiàn)了問題也會及時告知����,防止系統(tǒng)被黑客攻擊����。同時,主管單位也會定期召開會議����,方便定級系統(tǒng)運營單位了解最新的政策、網安形勢��,幫助開展網安工作。所以及時進行系統(tǒng)定級���,是非常必要的��。
拓展知識:不是所有的定級系統(tǒng)都會接受安全檢查��,因為需要檢查的單位實在是太多���,主管單位時間是有限的,他們會根據(jù)各個系統(tǒng)的綜合因素統(tǒng)一安排檢查�����,所以系統(tǒng)運營方也不用過于擔心����。再說了,被檢查就能發(fā)現(xiàn)系統(tǒng)存在的隱患和問題�����,這未嘗不是一件好事�����。
5、等級保護包含五項內容�,等保測評只是其中一項
概況:有很多企事業(yè)單位都以為做等級保護就是系統(tǒng)定級+備案+測評。
正確做法:等級保護工作包含五項內容�����,分別是:定級����、備案、測評��、建設整改和監(jiān)督審查�,等保測評只是其中一項,所以要做的工作還有很多呀��!
拓展知識:對于等級保護相關工作而言���,等保測評只是一個開端,相關單位讓系統(tǒng)運營單位做等保����,是為了分析系統(tǒng)可能存在的風險并及時的修補漏洞,改正錯誤,找出和健康系統(tǒng)之間存在的差距����。所以等級保護的關鍵在于建設整改和提高系統(tǒng)的安全防護能力,這樣才能使系統(tǒng)盡可能地避免受到黑客攻擊等惡意破壞����。
6、等保測評是周期性�、持續(xù)性工作,不同等級要求0.5-2年做一次�����。
概況:很多企事業(yè)單位覺得等級保護是一個形式性的工作��,抱有應付態(tài)度���,覺得“做完這次就拉倒”��。
正確做法:等級保護工作是需要持續(xù)進行的�,特別是等保測評���。針對不同級別的系統(tǒng)會有不同的測評周期要求:4級0.5年一次����,3級1年一次,2級2年一次(有行業(yè)區(qū)別����,但都明確或建議2年做一次)
拓展知識:等級保護測評是對系統(tǒng)防護水平的測試,不應該應付了事����。企事業(yè)單位的系統(tǒng)如果按照等保要求認真做好,在合規(guī)的同時��,也能切實做好網絡安全工作�。
7、不做等級保護可能面臨被處罰
概況:有不少企事業(yè)單位認為只要不涉及網絡安全�����、網絡攻擊事件就可以不做等級保護����,沒出事而就行���。
正確做法:《中華人民共和國網絡安全法》第二十一條做過相關規(guī)定(具體內容就不贅述了)�,如果系統(tǒng)運營方不做等級保護屬于違反“其他義務”的行為,是可能面臨被處罰的情況����。之前也已經有過類似的報道出現(xiàn),所以及時做等級保護吧����,別等到挨罰了再火急火燎地去折騰。
拓展知識:安全總是相對的���,但該做的事情要及時去做�。按照政策法規(guī)的要求嚴格執(zhí)行����,也是保護企事業(yè)安全的一種措施。
8����、系統(tǒng)就算在內網也需要及時開展等級保護工作
概況:很多企事業(yè)單位的將系統(tǒng)存在單位的內網或者專網中,認為不對外=安全�,這樣就可以不用開展等級保護工作了。
正確做法:只要不是涉密系統(tǒng)就需等級保護���,和放在哪個網無關����。而且內網相較于外網的保護措施可能更弱,反倒容易中毒和被攻擊��。所以就算是內網的系統(tǒng)����,也要及時開展等級保護工作!
拓展知識:內網不代表安全�,而且現(xiàn)在純粹的物理內網很少了,大部分或多或少都與互聯(lián)網有些連接��。內網一旦中毒��,擴散很快��,而且很難清除�����,因為很多技術措施都沒有����,幾乎在裸奔狀態(tài),一旦中毒很容易就跨了����。
9、等保測評以系統(tǒng)為單位進行��,無法針對“單位”整體開展
概況:現(xiàn)實情況下����,很多企事業(yè)單位并沒有明白等級保護的意義,他們誤認為是針對“單位”開展的業(yè)務����,覺得對自己的單位做一次等級保護測評就完事。
正確做法:等保測評以系統(tǒng)為單位進行的���,單位有多少個信息系統(tǒng)就需要做多少次等保測評����。
拓展知識:信息系統(tǒng)通常情況下由很多實物構成����,例如服務器、主機�、數(shù)據(jù)庫、設備等�����,等保測評除了測實物還需要測相關的安全管理制度。
10����、等保測評后整改的花銷由系統(tǒng)的等級、措施等決定�,并不一定“很高”
概況:總有企事業(yè)單位擔憂昨晚等保測評后需要花“很多錢“進行安全建設整改。
正確做法:等保整改需要花多少錢和信息系統(tǒng)的等級�、已有的安全防護措施狀況以及網絡運營者對測評分數(shù)的期望值有關,并不一定“很高”���,還有可能不花錢呢���!
拓展知識:等保整改包括:安全制度完善、安全加固等安全服務以及安全設備的添置���。前兩者的費用一般都包含在前期和系統(tǒng)集成商簽訂的合約中���,并不需要太多額外的花銷。整改后如果企事業(yè)具備一定的安全技術措施���,達到“基本符合“的結論問題不大�����。至于到底需要花多少錢����,和系統(tǒng)運營方的期望與實施方案呈正相關�����。
關于等保測評(等保2.0)���、系統(tǒng)定級�、等保合規(guī)等業(yè)務�����,歡迎有相關需求的企業(yè)和個人聯(lián)系我們�����。
等保測評咨詢
