等级保护工作的误区
等保,即网络安全等级保护,是指根据信息系统在国家安全、社会稳定、经济秩序和公共利益方便的中重要程度以及风险威胁、安全需求、安全成本等因素,将其划分不同的安全保护等级并采取相应等级的安全保护技术、管理措施、以保障信息系统安全和信息安全。
等级保护需要在安全技术和安全管理上选用与安全等级相适应的安全控制来实现,各种控制措施连接、交互、依赖、协调、协同,共同作用于信息系统的安全防护。在等保工作中,有哪些应该注意的地方呢?
01
不做等保只要不出事就行?
根据《中华人民共和国网络安全法》第二十一条规定,国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
因此,不做等保就属于不履行相关的法律义务。国内目前已经有公开报道的因没有落实等级保护制度而被处罚的真实案例,所以等保工作需要被重视起来,及时开展。
02
内网不需要做等保?业务系统不对外,不需要做等保?
从技术角度而言,内网不代表安全,并且纯粹的物理内网并不多见,或多或少都以直接或间接的方式与互联网有联系。
从法律法规的角度来说,所有非涉密系统都属于等级保护范畴,和系统在外网还是内网没有关系。
其次在内网的系统往往其网络安全技术措施做的并不好,甚至不少系统已经中毒或已经有黑客潜伏,所以不论系统在内网还是外网都得及时开展等保工作。
03
已经托管到云的系统不需要做等保?
根据“谁运营谁负责,谁使用谁负责,谁主管谁负责”的原则,该系统责任主体还是属于网络运营者自己,所以还是得承担相应的网络安全责任,该进行系统定级的还是得定级,该做等保的还是得做等保。
系统上云或托管后,并不是安全责任主体转移,只是系统所在机房地址的变更,当然在公有云模式下,Iaas、Paas、Saas不同模式相应的安全责任会有些区别,但是并不是没有责任。
04
等保就是做个测评就可以?
等级保护工作不仅只是一个测评,而是包含定级、备案、测评、建设整改和监督审查五项内容,测评只是其中一项也是开始,更重要的是通过测评寻找出差距,分析出目前系统存在的风险,及时查漏补缺,进行安全建设整改,提高信息系统的安全防护能力,降低系统受到攻击破坏的概率。
05
系统定级越低越好?
系统的最终定级是根据受侵害的客体以及对客体侵害的程度来确定的,以事实为根据,而不是主观随意定级。定级低了,表面上要求更容易满足,但相应的防护措施也相对不足,一旦遭受攻击,反而得不偿失。
06
一个单位只要做一个等保测评就可以?
等保测评是按照信息系统来的,以一个信息系统为测评整体,并不是按照一个单位去做的。
一个完整的信息系统包括承载其的物理机房、服务器、主机、应用、数据库、网络设备及安全设备等,测评除了这些具体的实体对象,还包括相对应的安全管理制度。
07
等保测评只要做一次就可以?
等保工作是一个持续的工作,等保测评也是一个周期性的工作,三级系统要求每年做一次,四级系统每半年做一次,二级系统部分行业明确要求每两年做一次,没有明确要求的行业一般是建议两年做一次测评。
08
等保测评做完要花很多钱去整改?
整改花多少钱取决于信息系统等级、系统现有安全防护措施状况以及网络运营者对测评分数的期望值,不一定要花很多钱。
整改的内容大体分为:安全制度完善、安全加固等安全服务以及安全设备的添置。
在安全制度及安全加固上网络运营者自己可以做很多整改工作或者委托供应商进行加固。这些内容整改好,加上一定的安全技术措施,大致上可以满足基本符合的要求,所以花多少钱要看怎么去做或者对网络安全的期望值是多少。
09
云系统到哪里进行系统定级备案?
云系统由于部署在各类云平台上面,而云平台的实际物理地址往往和云系统网络运营者不在同一地址,大型云平台还有许多物理节点,很难确定云平台的具体物理地址,因此从方便属地公安机关监管的角度出发,应该在系统实际运维团队所在地市网安部门进行系统备案。