網站(zhàn)标題
搜索
取消
清空記錄
曆史記錄
清空記錄
曆史記錄
等級保護工(gōng)作的誤區
等級保護其實就(jiù)是網絡安全等級保護,需要通(tōng)過安全技(jì)術(shù)進行控制管理,但也有很多(duō)人對于等級保護還(hái)存在認知誤區,在等保工(gōng)作中,我們應該注意哪些地方呢(ne)?
2020-04-09 09:17:45上海通燎網絡科技有限公司2061
等級保護其實就(jiù)是網絡安全等級保護,需要通(tōng)過安全技(jì)術(shù)進行控制管理,但也有很多(duō)人對于等級保護還(hái)存在認知誤區,在等保工(gōng)作中,我們應該注意哪些地方呢(ne)?
01、不做等保隻要不出事(shì)就(jiù)行?
國(guó)家實行網絡安全等級保護制度。網絡運營者應當按照(zhào)網絡安全等級保護制度的要求,履行下(xià)列安全保護義務,保障網絡免受幹擾、破壞或者未經授權的訪問,防止網絡數據洩露或者被竊取、篡改。
因此,不做等保就(jiù)屬于不履行相(xiàng)關的法律義務。國(guó)内目前已經有公開(kāi)報(bào)道的因沒有落實等級保護制度而被處罰的真實案例,所以等保工(gōng)作需要被重視起來,及時開(kāi)展。
02、内網不需要做等保?業(yè)務系統不對外,不需要做等保?
從(cóng)技(jì)術(shù)角度而言,内網不表示安全,并且純粹的物(wù)理内網并不多(duō)見(jiàn),或多(duō)或少都以直接或間接的方式與互聯網有聯系。
從(cóng)法律法規的角度來說,所有非涉密系統都屬于等級保護範疇,和系統在外網還(hái)是内網沒有關系。
其次在内網的系統往往其網絡安全技(jì)術(shù)措施做的并不好,甚至不少系統已經中毒或已經有危險潛伏,所以不論系統在内網還(hái)是外網都得及時開(kāi)展等保工(gōng)作。
03、已經托管到(dào)雲的系統不需要做等保?
根據“誰運營誰負責,誰使用誰負責,誰主管誰負責”的原則,該系統責任主體還(hái)是屬于網絡運營者自(zì)己,所以還(hái)是得承擔相(xiàng)應的網絡安全責任,該進行系統定級的還(hái)是得定級,該做等保的還(hái)是得做等保。
系統上(shàng)雲或托管後,并不是安全責任主體轉移,隻是系統所在機(jī)房地址的變更,當然在公有雲模式下(xià),Iaas、Paas、Saas不同模式相(xiàng)應的安全責任會(huì)有些區别,但是并不是沒有責任。
04、等保就(jiù)是做個(gè)測評就(jiù)可以?
等級保護工(gōng)作不僅隻是一(yī)個(gè)測評,而是包含定級、備案、測評、建設整改和監督審查五項内容,測評隻是其中一(yī)項也是開(kāi)始,更重要的是通(tōng)過測評尋找出差距,分析出目前系統存在的風險,及時查漏補缺,進行安全建設整改,提高(gāo)信息系統的安全防護能(néng)力,降低(dī)系統受到(dào)攻擊破壞的概率。
05、系統定級越低(dī)越好?
系統的最終定級是根據受侵害的客體以及對客體侵害的程度來确定的,以事(shì)實為(wèi)根據,而不是主觀随意定級。定級低(dī)了,表面上(shàng)要求更容易滿足,但相(xiàng)應的防護措施也相(xiàng)對不足,一(yī)旦遭受攻擊,反而得不償失。
06、一(yī)個(gè)單位隻要做一(yī)個(gè)等保測評就(jiù)可以?
等保測評是按照(zhào)信息系統來的,以一(yī)個(gè)信息系統為(wèi)測評整體,并不是按照(zhào)一(yī)個(gè)單位去做的。
一(yī)個(gè)完整的信息系統包括承載其的物(wù)理機(jī)房、服務器(qì)、主機(jī)、應用、數據庫、網絡設備及安全設備等,測評除了這些具體的實體對象,還(hái)包括相(xiàng)對應的安全管理制度。
07、等保測評隻要做一(yī)次就(jiù)可以?
等保工(gōng)作是一(yī)個(gè)持續的工(gōng)作,等保測評也是一(yī)個(gè)周期性的工(gōng)作,三級及以上(shàng)系統要求每年(nián)測評一(yī)次,二級系統部分行業(yè)明确要求每兩年(nián)測評一(yī)次,沒有明确要求的行業(yè)一(yī)般建議兩年(nián)做一(yī)次測評。
08、等保測評做完要花很多(duō)錢(qián)去整改?
整改花多(duō)少錢(qián)取決于信息系統等級、系統現有安全防護措施狀況以及網絡運營者對測評分數的期望值,不一(yī)定要花很多(duō)錢(qián)。
整改的内容大體分為(wèi):安全制度完善、安全加固等安全服務以及安全設備的添置。
在安全制度及安全加固上(shàng)網絡運營者自(zì)己可以做很多(duō)整改工(gōng)作或者委托供應商進行加固。這些内容整改好,加上(shàng)一(yī)定的安全技(jì)術(shù)措施,大緻上(shàng)可以滿足基本符合的要求,所以花多(duō)少錢(qián)要看(kàn)怎麽去做或者對網絡安全的期望值是多(duō)少。
09、雲系統到(dào)哪裡(lǐ)進行系統定級備案?
雲系統由于部署在各類雲平台上(shàng)面,而雲平台的實際物(wù)理地址往往和雲系統網絡運營者不在同一(yī)地址,大型雲平台還(hái)有許多(duō)物(wù)理節點,很難确定雲平台的具體物(wù)理地址,因此從(cóng)方便屬地公安監管的角度出發,應該在系統實際運維團隊所在地市(shì)網安部門(mén)進行系統備案。
避開(kāi)以上(shàng)誤區,讓等級保護工(gōng)作更完美。上海通燎網絡科技有限公司專注于為(wèi)企業(yè)提供信息安全解決方案的技(jì)術(shù)服務公司。關注我們帶你了解更多(duō)信息安全知識。
01、不做等保隻要不出事(shì)就(jiù)行?
國(guó)家實行網絡安全等級保護制度。網絡運營者應當按照(zhào)網絡安全等級保護制度的要求,履行下(xià)列安全保護義務,保障網絡免受幹擾、破壞或者未經授權的訪問,防止網絡數據洩露或者被竊取、篡改。
因此,不做等保就(jiù)屬于不履行相(xiàng)關的法律義務。國(guó)内目前已經有公開(kāi)報(bào)道的因沒有落實等級保護制度而被處罰的真實案例,所以等保工(gōng)作需要被重視起來,及時開(kāi)展。
02、内網不需要做等保?業(yè)務系統不對外,不需要做等保?
從(cóng)技(jì)術(shù)角度而言,内網不表示安全,并且純粹的物(wù)理内網并不多(duō)見(jiàn),或多(duō)或少都以直接或間接的方式與互聯網有聯系。
從(cóng)法律法規的角度來說,所有非涉密系統都屬于等級保護範疇,和系統在外網還(hái)是内網沒有關系。
其次在内網的系統往往其網絡安全技(jì)術(shù)措施做的并不好,甚至不少系統已經中毒或已經有危險潛伏,所以不論系統在内網還(hái)是外網都得及時開(kāi)展等保工(gōng)作。
03、已經托管到(dào)雲的系統不需要做等保?
根據“誰運營誰負責,誰使用誰負責,誰主管誰負責”的原則,該系統責任主體還(hái)是屬于網絡運營者自(zì)己,所以還(hái)是得承擔相(xiàng)應的網絡安全責任,該進行系統定級的還(hái)是得定級,該做等保的還(hái)是得做等保。
系統上(shàng)雲或托管後,并不是安全責任主體轉移,隻是系統所在機(jī)房地址的變更,當然在公有雲模式下(xià),Iaas、Paas、Saas不同模式相(xiàng)應的安全責任會(huì)有些區别,但是并不是沒有責任。
04、等保就(jiù)是做個(gè)測評就(jiù)可以?
等級保護工(gōng)作不僅隻是一(yī)個(gè)測評,而是包含定級、備案、測評、建設整改和監督審查五項内容,測評隻是其中一(yī)項也是開(kāi)始,更重要的是通(tōng)過測評尋找出差距,分析出目前系統存在的風險,及時查漏補缺,進行安全建設整改,提高(gāo)信息系統的安全防護能(néng)力,降低(dī)系統受到(dào)攻擊破壞的概率。
05、系統定級越低(dī)越好?
系統的最終定級是根據受侵害的客體以及對客體侵害的程度來确定的,以事(shì)實為(wèi)根據,而不是主觀随意定級。定級低(dī)了,表面上(shàng)要求更容易滿足,但相(xiàng)應的防護措施也相(xiàng)對不足,一(yī)旦遭受攻擊,反而得不償失。
06、一(yī)個(gè)單位隻要做一(yī)個(gè)等保測評就(jiù)可以?
等保測評是按照(zhào)信息系統來的,以一(yī)個(gè)信息系統為(wèi)測評整體,并不是按照(zhào)一(yī)個(gè)單位去做的。
一(yī)個(gè)完整的信息系統包括承載其的物(wù)理機(jī)房、服務器(qì)、主機(jī)、應用、數據庫、網絡設備及安全設備等,測評除了這些具體的實體對象,還(hái)包括相(xiàng)對應的安全管理制度。
07、等保測評隻要做一(yī)次就(jiù)可以?
等保工(gōng)作是一(yī)個(gè)持續的工(gōng)作,等保測評也是一(yī)個(gè)周期性的工(gōng)作,三級及以上(shàng)系統要求每年(nián)測評一(yī)次,二級系統部分行業(yè)明确要求每兩年(nián)測評一(yī)次,沒有明确要求的行業(yè)一(yī)般建議兩年(nián)做一(yī)次測評。
08、等保測評做完要花很多(duō)錢(qián)去整改?
整改花多(duō)少錢(qián)取決于信息系統等級、系統現有安全防護措施狀況以及網絡運營者對測評分數的期望值,不一(yī)定要花很多(duō)錢(qián)。
整改的内容大體分為(wèi):安全制度完善、安全加固等安全服務以及安全設備的添置。
在安全制度及安全加固上(shàng)網絡運營者自(zì)己可以做很多(duō)整改工(gōng)作或者委托供應商進行加固。這些内容整改好,加上(shàng)一(yī)定的安全技(jì)術(shù)措施,大緻上(shàng)可以滿足基本符合的要求,所以花多(duō)少錢(qián)要看(kàn)怎麽去做或者對網絡安全的期望值是多(duō)少。
09、雲系統到(dào)哪裡(lǐ)進行系統定級備案?
雲系統由于部署在各類雲平台上(shàng)面,而雲平台的實際物(wù)理地址往往和雲系統網絡運營者不在同一(yī)地址,大型雲平台還(hái)有許多(duō)物(wù)理節點,很難确定雲平台的具體物(wù)理地址,因此從(cóng)方便屬地公安監管的角度出發,應該在系統實際運維團隊所在地市(shì)網安部門(mén)進行系統備案。
避開(kāi)以上(shàng)誤區,讓等級保護工(gōng)作更完美。上海通燎網絡科技有限公司專注于為(wèi)企業(yè)提供信息安全解決方案的技(jì)術(shù)服務公司。關注我們帶你了解更多(duō)信息安全知識。
浏覽器(qì)自(zì)帶分享功能(néng)也很好用哦~相(xiàng)關新聞
賦能(néng)企業(yè)信息安全 Empower your IT security
版權所有 © 上海通燎網絡科技有限公司
選擇區号