10個(gè)關(guān)于等級(jí)保護(hù)的認(rèn)知誤區(qū),你都了解嗎��?
10個(gè)關(guān)于等級(jí)保護(hù)的認(rèn)知誤區(qū)��,你都了解嗎�����?
10個(gè)關(guān)于等級(jí)保護(hù)的認(rèn)知誤區(qū)�,你都了解嗎��?
互聯(lián)網(wǎng)的快速發(fā)展為企業(yè)帶來了巨大的機(jī)遇���,同時(shí)企業(yè)也將面臨著嚴(yán)峻的挑戰(zhàn)��;在此背景下����,企業(yè)如果想要保證業(yè)務(wù)安全且穩(wěn)定的運(yùn)營(yíng)��,就必須有效提升企業(yè)信息安全,降低信息風(fēng)險(xiǎn)����,避免網(wǎng)絡(luò)安全問題的發(fā)生。這時(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)尤為重要�,它是一個(gè)行之有效而又全面提升的整體解決方案。但說起等級(jí)保護(hù)�����,很多人對(duì)它都存在認(rèn)知誤區(qū)
誤區(qū)一:已經(jīng)托管了云系統(tǒng)��,就不需要做等保
根據(jù)相關(guān)原則�,該系統(tǒng)責(zé)任主體還是屬于網(wǎng)絡(luò)運(yùn)營(yíng)者自己,所以還是得承擔(dān)相應(yīng)的網(wǎng)絡(luò)安全責(zé)任�,該進(jìn)行系統(tǒng)定級(jí)還是需要進(jìn)行定級(jí),該做等保的還是得做等保����。
系統(tǒng)上云或者托管后,并不是安全責(zé)任主體轉(zhuǎn)移����,只是系統(tǒng)所在機(jī)房地址的變更,當(dāng)然在公有云模式下�,laas���、Paas、Saas不同模式相應(yīng)的安全責(zé)任會(huì)有些區(qū)別����,但并不是沒有責(zé)任。
誤區(qū)二:系統(tǒng)定級(jí)越低越好
最終定級(jí)是根據(jù)受侵害的客體以及對(duì)客體侵害的程度來確定的��,以事實(shí)為依據(jù)��,而不是主觀隨意定級(jí)��。定級(jí)低了��,表面上要求更容易滿足����,但相應(yīng)的防護(hù)措施也相對(duì)不足�����,萬一你的系統(tǒng)不小心被攻擊破壞造成一定不良影響��,在主管部門進(jìn)行責(zé)任認(rèn)定追查時(shí)���,很有可能就會(huì)因?yàn)橄到y(tǒng)定級(jí)不合理�,安全責(zé)任沒有履行到位而被處罰。
誤區(qū)三:系統(tǒng)定級(jí)后就有人監(jiān)管了
并不是這樣的����,所有非涉密系統(tǒng)都屬于等級(jí)保護(hù)范疇,沒有定級(jí)不代表不需要被監(jiān)管�,相反如果沒有被納入監(jiān)管,反而會(huì)比較危險(xiǎn)�����,哪天出了事就比較難以收拾殘局�����。定級(jí)后或者被監(jiān)管�,主管單位會(huì)在重點(diǎn)時(shí)刻對(duì)我們的重要信息系統(tǒng)進(jìn)行一定掃描及保護(hù),會(huì)及時(shí)告知發(fā)現(xiàn)的一些問題��,避免發(fā)生網(wǎng)絡(luò)安全攻擊事件;同時(shí)一些重要的政策要求或者行業(yè)會(huì)議�����,也會(huì)通知你們過來參會(huì)�,方便大家及時(shí)了解最新的網(wǎng)絡(luò)安全形勢(shì)��,有利于開展網(wǎng)絡(luò)安全工作��。
誤區(qū)四:等級(jí)保護(hù)就是做個(gè)測(cè)評(píng)而已
等級(jí)保護(hù)工作不僅是一個(gè)測(cè)評(píng)��,而是包含:定級(jí)�����、備案����、測(cè)評(píng)�、建設(shè)整改和監(jiān)督審查五項(xiàng)內(nèi)容,測(cè)評(píng)只是其中一項(xiàng)�����。
誤區(qū)五:等保測(cè)評(píng)做一次就可以
并不是�����,等保是一個(gè)持續(xù)性的工作���,等保測(cè)評(píng)也是一個(gè)周期性的工作���,三級(jí)系統(tǒng)要求每年做一次,四級(jí)系統(tǒng)每半年做一次�,二級(jí)系統(tǒng)部分行業(yè)明確要求每?jī)赡曜鲆淮危瑳]有明確要求的行業(yè)建議大家兩年做一次����。
誤區(qū)六:只要不出事,不做等保也沒關(guān)系
錯(cuò)誤!《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第二十一條國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度�。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求,履行下列安全保護(hù)義務(wù)��,保障網(wǎng)絡(luò)免受干擾�、破壞或者未經(jīng)授權(quán)的訪問,防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取����、篡改:(五)法律、行政法規(guī)規(guī)定的其他義務(wù)�。不做等保就屬于第五個(gè)行為,國(guó)內(nèi)目前已經(jīng)有公開報(bào)道的因?yàn)闆]有落實(shí)等級(jí)保護(hù)制度而被處罰的真實(shí)案例����。所以等保要及時(shí)做,不要等��。
誤區(qū)七:內(nèi)網(wǎng),無需進(jìn)行等保
首先所有非涉密系統(tǒng)都屬于等級(jí)保護(hù)范疇����,和系統(tǒng)在外網(wǎng)還是內(nèi)網(wǎng)沒有關(guān)系;其次在內(nèi)網(wǎng)的系統(tǒng)往往其網(wǎng)絡(luò)安全技術(shù)措施做的并不好,甚至不少系統(tǒng)已經(jīng)中毒不淺�,所以不論系統(tǒng)在內(nèi)網(wǎng)還是外網(wǎng)都得及時(shí)開展等保工作。
誤區(qū)八:做完等保測(cè)評(píng)�,需要花費(fèi)很多錢進(jìn)行整改
并不是,整改花多少錢取決于你的信息系統(tǒng)等級(jí)��、系統(tǒng)現(xiàn)有的安全防護(hù)措施狀態(tài)以及網(wǎng)絡(luò)運(yùn)營(yíng)者對(duì)測(cè)評(píng)分?jǐn)?shù)的期望值���,不一定要花費(fèi)很多錢�����。
誤區(qū)九:信息系統(tǒng)上云就安全了
很多單位認(rèn)為網(wǎng)站和信息系統(tǒng)上云后就安全了����,等保不用做了�。信息系統(tǒng)是否上云�,安全責(zé)任主體都不會(huì)變。各類云平臺(tái)只提供平臺(tái)和簡(jiǎn)單的安全措施����,安全責(zé)任主體單位還是要按等保要求落實(shí)相應(yīng)的安全工作��,只是物理和環(huán)境安全等部分安全工作由云平臺(tái)承擔(dān)����。
誤區(qū)十:云系統(tǒng)是到注冊(cè)經(jīng)營(yíng)地備案
云系統(tǒng)應(yīng)當(dāng)在系統(tǒng)實(shí)際運(yùn)維團(tuán)隊(duì)所在地市網(wǎng)安部門進(jìn)行系統(tǒng)備案����,因?yàn)檫@樣方便屬地公安對(duì)系統(tǒng)進(jìn)行監(jiān)管。
