在日常开展等级保护工作中,大家总会有一些误区,不得不等接着整理等级保护工作十大误区(下)供大家交流。
6、等保测评做过一次就可以了,以后随便做不做?
背景:一些客户以为等保测评只要做过一次就行了,以后就不用做了。把等保工作当成一个形式当成应付工程去做。
答:等保工作是一个持续的工作,等保测评也是一个周期性的工作,三级系统要求每年做一次,四级系统每半年做一次,二级系统部分行业明确要求每两年做一次,没有明确要求的行业建议大家两年做一次测评。
扩展:做等保测评不应当抱着应付的心态去做,如果大家的系统真能按照等级保护的要求去做好,那么你的系统安全防护水平还是很高的。做了等保,一方面是合规,更多的是切切实实协助我们做好单位的网络安全工作。
7、不做等保没关系,只要不出事就行?
背景:一些用户以为做不做等保不要紧,关揵的是不要出网络安全事件,只要不出事都没问题。
答:《中华人民共和国网络安全法》第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:(五)法律、行政法规规定的其他义务。不做等保就属于第五个行为,国内目前已经有公开报道的因没有落实等级保护制度而被处罚的真实案例。所以等保及时去做,不要等。
扩展:网络安全技术发展日新月异,什么叫安全?买什么产品做什么服务就能安全?绝对的安全是不可能的,我们不能百分百保证我们的系统是安全的,但是我们得把我们能做的工作及时做到位,该做的工作做到了,自然也就相对安全了。
8、系统在内网,就不需要做等保了?
背景:不少用户的系统都在单位内网或者专网中,觉得系统不对外相对安全,所以就可以不做等保了。
答:首先所有非涉密系统都属于等级保护范畴,和系统在外网还是内网没有关系;其次在内网的系统往往其网络安全技术措施做的并不好,甚至不少系统已经中毒不浅。所以不论系统在内网还是外网都得及时开展等保工作。
扩展:内网不代表安全,而且现在纯粹的物理内网很少了,大部分或多或少都与互联网有些连接。内网一旦中毒,扩散很快,而且很难清除,因为很多技术措施都没有,几乎在裸奔状态,一旦中毒很容易就跨了。
9、给我们单位整体做一个等保测评?
背景:一些用户或者同行搞不清等保到底是个什么情况,以为是按照整个单位去做,天真地认为一个单位做一个等保测评就可以。
答:等保测评是按照信息系统来的,以一个信息系统为测评整体,并不是按照一个单位去做的。
扩展:一个完整的信息系统包括承载其的物理机房、服务器、主机、应用、数据库、网络设备及安全设备等,测评除了这些具体的实体对象,还包括相对应的安全管理制度。
10、等保测评做完就得花很多钱去整改?
背景:一些客户有疑虑:测评是没有多少钱,但是测评后需要进行安全建设整改,需要花很多钱。
答:整改花多少钱取决于你的信息系统等级、系统现有的安全防护措施状况以及网络运营者对测评分数的期望值,不一定要花很多钱甚至不花钱。
扩展:整改的内容大体分为:安全制度完善、安全加固等安全服务以及安全设备的添置。在安全制度及安全加固上网络运营者自己可以做很多整改工作或者委托系统集成方进行加固,往往这是不需要额外付费的或者是包含在你和系统集成方合同约定中的,这两块内容整改好,加上你有一定的安全技术措施,基本上是可以达到基本符合的结论的。所以花多少钱看你怎么去做或者你的期望值是多少。
来源:CSPEC