等保2.0新规来临我们该如何做?
等级保护即将实施。等级保护从最初的1时代跨越到了时代,其制度也得到了突破性的进展,体系和相关的标准制度均有所改变。
等级保护工作需要在安全技术、管理上匹配和安全等级相适应的安全控制,利用各种控制措施的连接、交互、依赖、协调、协同性来实现信息系统的安全防护。那么在等级保护工作中,有什么需要注意的地方呢?
01 云系统需要在哪进行系统定级备案?
由于云系统分布在各类云平台上面,其真实的物理地址通常和云系统网络运营者的地址不在一处,比较大的云平台物理节点较多,很难对具体的物理地址进行定位。从方便属地公安机关监管的角度出发,系统备案工作应该在系统实际的运维团队所在的地市网安部门进行。
02 托管的云系统是否需要开展等保工作?
系统在上云或者托管后,只是变更了系统所在机房的地址,安全责任主体并没有发生变化。根据“谁运营谁负责,谁使用谁负责,谁主管谁负责”的原则,系统的责任主体还是网络运营者,所以网络运营者还是得承担相应的网络安全责任,该做的相关安全工作还是需要做到位。
03 系统定级随便定?
最终定级还是需要根据要求来确定的,不能按照自己的主观意识随意定级,如果定级定低了,看起来是满足了要求,但是相应的防护措施跟不上,一旦遭受到攻击,后果还是很严重的。
04 内网需要做等保吗?
从技术的角度来说,内网并不是一定安全的,而且纯粹的物理内网十分稀少,多多少少都会和互联网有所联系。
从法律法规的角度来看,所有非涉密系统都是等级保护的范畴,不论系统是在外网还是内网都没有区别。所以只要有系统,不管是在内网还是外网都要开展等保工作。
05 等保测评做一次就够了吗?
等保工作是讲究周期性的,是一个持续性的工作,按照相关规定要求三级系统每年需要做一次测评,四级系统每隔半年要做一次测评,二级系统部分行业明确规定每隔两年要做一次测评,没有明确规定的行业一般建议两年做一次测评。
06 系统很安全,为什么一定要做等保?
根据《中华人民共和国网络安全法》第二十一条
国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
……
(五)法律、行政法规规定的其他义务。
不做等保就属于不履行相关的法律义务,国内目前已经有公开报道的因没有落实等级保护制度而被处罚的真实案例,所以等保这件事,只争朝夕,赶紧去做吧!
07 如何开展等保?
等保工作不仅只有测评,它一共包含了五个部分的工作:定级、备案、测评、建设整改和监督审查。现今等级保护制度已经步入了“2”的时代,其需求也越来越细致,对安全的要求也越来越高。企业如果盲目的自己开展等保工作将会走错许多的路,我们可以找到当地的相关等保服务机构来协助我们完成等保工作。
等级保护工作需要在安全技术、管理上匹配和安全等级相适应的安全控制,利用各种控制措施的连接、交互、依赖、协调、协同性来实现信息系统的安全防护。那么在等级保护工作中,有什么需要注意的地方呢?
01 云系统需要在哪进行系统定级备案?
由于云系统分布在各类云平台上面,其真实的物理地址通常和云系统网络运营者的地址不在一处,比较大的云平台物理节点较多,很难对具体的物理地址进行定位。从方便属地公安机关监管的角度出发,系统备案工作应该在系统实际的运维团队所在的地市网安部门进行。
02 托管的云系统是否需要开展等保工作?
系统在上云或者托管后,只是变更了系统所在机房的地址,安全责任主体并没有发生变化。根据“谁运营谁负责,谁使用谁负责,谁主管谁负责”的原则,系统的责任主体还是网络运营者,所以网络运营者还是得承担相应的网络安全责任,该做的相关安全工作还是需要做到位。
03 系统定级随便定?
最终定级还是需要根据要求来确定的,不能按照自己的主观意识随意定级,如果定级定低了,看起来是满足了要求,但是相应的防护措施跟不上,一旦遭受到攻击,后果还是很严重的。
04 内网需要做等保吗?
从技术的角度来说,内网并不是一定安全的,而且纯粹的物理内网十分稀少,多多少少都会和互联网有所联系。
从法律法规的角度来看,所有非涉密系统都是等级保护的范畴,不论系统是在外网还是内网都没有区别。所以只要有系统,不管是在内网还是外网都要开展等保工作。
05 等保测评做一次就够了吗?
等保工作是讲究周期性的,是一个持续性的工作,按照相关规定要求三级系统每年需要做一次测评,四级系统每隔半年要做一次测评,二级系统部分行业明确规定每隔两年要做一次测评,没有明确规定的行业一般建议两年做一次测评。
06 系统很安全,为什么一定要做等保?
根据《中华人民共和国网络安全法》第二十一条
国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
……
(五)法律、行政法规规定的其他义务。
不做等保就属于不履行相关的法律义务,国内目前已经有公开报道的因没有落实等级保护制度而被处罚的真实案例,所以等保这件事,只争朝夕,赶紧去做吧!
07 如何开展等保?
等保工作不仅只有测评,它一共包含了五个部分的工作:定级、备案、测评、建设整改和监督审查。现今等级保护制度已经步入了“2”的时代,其需求也越来越细致,对安全的要求也越来越高。企业如果盲目的自己开展等保工作将会走错许多的路,我们可以找到当地的相关等保服务机构来协助我们完成等保工作。