網(wǎng)絡(luò )安全等級維護近幾年或是*熱門(mén)的����,網(wǎng)絡(luò )信息安全關(guān)系著(zhù)每一個(gè)系統軟件的安全性����,這是每一個(gè)企業(yè)及團隊可以去全面落實(shí)的�����,這里也等級保護測評的一些常見(jiàn)問(wèn)題給大家匯總了好多個(gè)普遍錯誤觀(guān)念����,以下屬于搜集的七個(gè)普遍錯誤觀(guān)念:
七個(gè)疑難問(wèn)題
錯誤觀(guān)念一
一些用戶(hù)時(shí)常問(wèn):大家做了等級保護測評以后��,什么時(shí)候可以取得證書(shū)���?有人把等級保護測評相當于安全驗證�。
《中華人民共和國網(wǎng)絡(luò )安全法》中第二十一條明文規定:
運營(yíng)人
不難看出�,等級保護測評并不是等同于ISO 20000系列信息技術(shù)服務(wù)管理驗證�,也并不是于ISO27000系列信息安全管理體系驗證��。
等級保護制度是我國網(wǎng)絡(luò )安全管理制度��,是國家力量的一種體現���。貫徹落實(shí)等級保護制度為了能相關(guān)法律法規的合規管理要求�����。
等保測評并沒(méi)有相對應的證�,怎樣才能證實(shí)信息管理系統早已合乎等級保護測評安全規定了啦��?
現階段這一般是由國家公安部委托全國一百多家測評機構�����,對信息管理系統開(kāi)展安全測評�,專(zhuān)業(yè)測評成功后出示《等級保護測評報告》�����,拿到合乎等保安全標準的分析報告就說(shuō)明該信息管理系統合乎等級保護測評的安全規定���。
錯誤觀(guān)念二
做了等級保護測評就沒(méi)有安全問(wèn)題�����。
很多人都認為����,進(jìn)行等級保護測評就萬(wàn)事大吉了�����。實(shí)際上�,等級保護規章制度僅僅基準線(xiàn)的需求�����,根據專(zhuān)業(yè)測評�����、整頓���,貫徹落實(shí)等級保護制度���,確實(shí)能避開(kāi)絕大部分的安全隱患����。但從目前的測評報告來(lái)說(shuō)�,幾乎沒(méi)有什么一個(gè)被測系統能全都達到等級保護規定��。
一般情況下����,現階段等級保護測評環(huán)節中�����,只需沒(méi)有發(fā)現高風(fēng)險安全隱患����,都能通過(guò)專(zhuān)業(yè)測評�����。
可是���,安全性是一個(gè)動(dòng)態(tài)性并非靜態(tài)的全過(guò)程���,而不是通過(guò)一次專(zhuān)業(yè)測評���,就能一勞永逸的����。
公司通過(guò)貫徹落實(shí)等保安全規定���,嚴格執行各類(lèi)安全工作的管理制度���,基本上可以做到全面的穩定運行���。但依舊不可以百分之百確保系統安全性����。
更為重要是提高企業(yè)安全防范水平�,及時(shí)把工作做好���。
錯誤觀(guān)念三
內部網(wǎng)系統軟件不用做等級測評
不少用戶(hù)的軟件都是在企業(yè)內部網(wǎng)或是網(wǎng)絡(luò )系統中運作�����,不要以為系統軟件不對外就比較安全��,而不去做等級保護規定���。
*先����,全部非保密系統軟件都是屬于等級保護測評范圍����,及系統是不是以?xún)染W(wǎng)沒(méi)關(guān)系�;《中華人民共和國網(wǎng)絡(luò )安全法》要求�,等級保護測評對象是中華人民共和國境內基本建設���、經(jīng)營(yíng)���、日常維護所使用的網(wǎng)絡(luò )與信息系統軟件���。不論是內部網(wǎng)或是外網(wǎng)地址系統軟件����,都需要滿(mǎn)足等級保護測評安全規定�����。
次之�����,以?xún)染W(wǎng)系統通常其互聯(lián)網(wǎng)安全措施做出來(lái)的并不夠成熟���,乃至許多系統軟件早已“中毒了不淺”���。
無(wú)論是內部網(wǎng)系統軟件或是外網(wǎng)地址系統軟件���,都應該立即進(jìn)行等級保護工作中�。
錯誤觀(guān)念四
系統上云或是代管
在別處就無(wú)需要做等級保護測評
現階段�����,較多的中小型企業(yè)顧客更偏向把系統部署在云服務(wù)平臺與IDC機房�。這種云服務(wù)平臺�、IDC機房一般都已通過(guò)等級保護測評����。依據“誰(shuí)經(jīng)營(yíng)誰(shuí)來(lái)管��,誰(shuí)應用誰(shuí)來(lái)管�,誰(shuí)主管誰(shuí)負責”的基本原則�����,系統軟件直接責任人依然也是屬于網(wǎng)絡(luò )運營(yíng)者自身����。
還是要承擔法律責任網(wǎng)絡(luò )安全責任�,進(jìn)行全面的評定或進(jìn)行等級保護測評工作中�。
部署到云服務(wù)平臺的軟件還需要買(mǎi)云服務(wù)平臺的安全保障或是第三方安全保障��,部署到IDC機房的軟件還需要買(mǎi)對應的安全防護設備以適應等保安全規定����。
錯誤觀(guān)念五
可根據自身主觀(guān)想法來(lái)評定
一些顧客擔憂(yōu):系統軟件評定定變高�,中后期為自己工作中提升不便��,一方面級別變高�����,技術(shù)性要求嚴格了��,應該做的工作中得多�;另一方面��,三級系統軟件必須每一年還做專(zhuān)業(yè)測評�,也是覺(jué)得不便��。惦記著(zhù)系統軟件定下二級就行了���,自身方便��。
? 現階段的等級保護測評目標(信息管理系統)的安全等級分成五個(gè)級別:
? 一級為較低等級�����,五級為***(五級為預埋等級�,目前市面上已評定的軟件*高達4級)����。
? 假如訂了一級�,不用做等級保護測評�����,獨立的保護就可以��。定二級以上那就需要開(kāi)展等級保護測評�。
系統軟件級別明確應該根據系統的重要性開(kāi)展確定�。假如定變高����,有可能導致投入的消耗��;定太低了則有可能導致關(guān)鍵信息管理系統無(wú)法得到應該有的維護�,應當慎重評定�。
等級保護1.0要求是獨立評定����,有主管機構的需求主管機構審批����,*后申報公安部門(mén)進(jìn)行審查����。
等級保護2.0以后評定步驟增加了“專(zhuān)家評審會(huì )”和“主管機構審批”兩個(gè)環(huán)節����,那樣評定全過(guò)程將會(huì )變得越來(lái)越標準�����,評定就會(huì )更加**���。
錯誤觀(guān)念六
不清楚系統軟件應當在哪兒辦理備案��。
《信息安全等級保護管理辦法》要求�,等級保護測評的主體單位為信息系統經(jīng)營(yíng)���、經(jīng)營(yíng)單位���。備案主體一般不會(huì )是房地產(chǎn)商�����、系統集成公司��,反而是*后的客戶(hù)方���。
現階段有一些部門(mén)的注冊地址跟經(jīng)營(yíng)地不一致����,通常情況下需要經(jīng)營(yíng)區域的網(wǎng)安部門(mén)申請辦理登記手續���。例如顧客注冊地址在北京海淀����,運營(yíng)部門(mén)在北京海淀區��,必須到北京海淀區申請辦理定級備案辦理手續��,自然���,基礎是北京海淀區必須要有靠譜辦公地點(diǎn)����。
有一些部門(mén)的系統部署在云服務(wù)平臺��,云服務(wù)平臺的具體MAC地址通常和云平臺網(wǎng)絡(luò )運營(yíng)者不在同一詳細地址��。并且��,有一些部門(mén)的運維團隊和申請注冊營(yíng)業(yè)執照地址都不一致�。這樣的情況下��,云平臺必須在系統軟件具體運維團隊所在城市市網(wǎng)安部門(mén)進(jìn)行全面的辦理備案��,因為他們會(huì )便捷所在地公安機關(guān)系統進(jìn)行管理�。
絕大多數情況下�,也是需要到全面的運維團隊具體所在城市開(kāi)展定級備案����。也有一些特定行業(yè)的需求�����,比如一些牽涉到金融的領(lǐng)域�,例如網(wǎng)絡(luò )金融系統軟件���、支付平臺必須屬地化管理��,這種系統軟件必須在注冊地址申請辦理定級備案辦理手續�,以適應當地的監管政策�。
錯誤觀(guān)念七
等級保護測評整頓需比較多經(jīng)費預算���。
一些客戶(hù)有顧慮:等級保護測評不用花很多�,可是專(zhuān)業(yè)測評后需開(kāi)展安全建設整頓����,必須比較多經(jīng)費預算��。
事實(shí)上�,整頓所需費用在于網(wǎng)絡(luò )運營(yíng)者的信息管理系統級別�����、系統軟件已有的安全防范措施情況及其網(wǎng)絡(luò )運營(yíng)者對專(zhuān)業(yè)測評分數期待值�。
整改的具體內容大致分成:安全管理制度健全�、安全加固等安全保障及其安全防護設備的增添��。在規章制度及安全加固上網(wǎng)絡(luò )運營(yíng)者能夠獨立多做一些整治工作或是授權委托信息系統集成方進(jìn)行固定��,有這兩大類(lèi)具體內容的支持��,結合自身實(shí)際安全措施�,基本可以做到完全符合的觀(guān)點(diǎn)�。
