互联网的快速发展为企业带来了巨大的机遇,同时企业也将面临着严峻的挑战;在此背景下,企业如果想要保证业务安全且稳定的运营,就必须有效提升企业信息安全,降低信息风险,避免网络安全问题的发生。这时网络安全等级保护尤为重要,它是一个行之有效而又全面提升的整体解决方案。但说起等级保护,很多人对它都存在认知误区,对此小编特整理了这篇文章,我们来看看吧。
误区一:已经托管了云系统,就不需要做等保
根据相关原则,该系统责任主体还是属于网络运营者自己,所以还是得承担相应的网络安全责任,该进行系统定级还是需要进行定级,该做等保的还是得做等保。
系统上云或者托管后,并不是安全责任主体转移,只是系统所在机房地址的变更,当然在公有云模式下,laas、Paas、Saas不同模式相应的安全责任会有些区别,但并不是没有责任。
误区二:系统定级越低越好
定级是根据受侵害的客体以及对客体侵害的程度来确定的,以事实为依据,而不是主观随意定级。定级低了,表面上要求更容易满足,但相应的防护措施也相对不足,万一你的系统不小心被攻击破坏造成一定不良影响,在主管部门进行责任认定追查时,很有可能就会因为系统定级不合理,安全责任没有履行到位而被处罚。
误区三:系统定级后就有人监管了
并不是这样的,所有非涉密系统都属于等级保护范畴,没有定级不代表不需要被监管,相反如果没有被纳入监管,反而会比较危险,哪天出了事就比较难以收拾残局。定级后或者被监管,主管单位会在重点时刻对我们的重要信息系统进行一定扫描及保护,会及时告知发现的一些问题,避免发生网络安全攻击事件;同时一些重要的政策要求或者行业会议,也会通知你们过来参会,方便大家及时了解新的网络安全形势,有利于开展网络安全工作。
误区四:等级保护就是做个测评而已
等级保护工作不仅是一个测评,而是包含:定级、备案、测评、建设整改和监督审查五项内容,测评只是其中一项。
误区五:等保测评做一次就可以
并不是,等保是一个持续性的工作,等保测评也是一个周期性的工作,三级系统要求每年做一次,四级系统每半年做一次,二级系统部分行业明确要求每两年做一次,没有明确要求的行业建议大家两年做一次。
误区六:只要不出事,不做等保也没关系
错误!《中华人民共和国网络安全法》第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:(五)法律、行政法规规定的其他义务。不做等保就属于第五个行为,国内目前已经有公开报道的因为没有落实等级保护制度而被处罚的真实案例。所以等保要及时做,不要等。
误区七:内网,无需进行等保
首先所有非涉密系统都属于等级保护范畴,和系统在外网还是内网没有关系;其次在内网的系统往往其网络安全技术措施做的并不好,甚至不少系统已经中毒不浅,所以不论系统在内网还是外网都得及时开展等保工作。
误区八:做完等保测评,需要花费很多钱进行整改
并不是,整改花多少钱取决于你的信息系统等级、系统现有的安全防护措施状态以及网络运营者对测评分数的期望值,不一定要花费很多钱。
误区九:信息系统上云就安全了
很多单位认为网站和信息系统上云后就安全了,等保不用做了。信息系统是否上云,安全责任主体都不会变。各类云平台只提供平台和简单的安全措施,安全责任主体单位还是要按等保要求落实相应的安全工作,只是物理和环境安全等部分安全工作由云平台承担。
误区十:云系统是到注册经营地备案
云系统应当在系统实际运维团队所在地市网安部门进行系统备案,因为这样方便属地公安对系统进行监管。