等級保護工作的(de)誤區(qū)

等級保護其實就是網絡安全等級保護，需要通(tōng)過安全技術進行控制管理(lǐ)，但也(yě)有很多(duō)人(rén)對(duì)于等級保護還(hái)存在認知誤區(qū)，在等保工作中，我們應該注意哪些地方呢(ne)？

01、不做(zuò)等保隻要不出事就行？

國家實行網絡安全等級保護制度。網絡運營者應當按照(zhào)網絡安全等級保護制度的(de)要求，履行下(xià)列安全保護義務，保障網絡免受幹擾、破壞或者未經授權的(de)訪問，防止網絡數據洩露或者被竊取、篡改。

因此，不做(zuò)等保就屬于不履行相關的(de)法律義務。國内目前已經有公開報道的(de)因沒有落實等級保護制度而被處罰的(de)真實案例，所以等保工作需要被重視起來(lái)，及時(shí)開展。

02、内網不需要做(zuò)等保？業務系統不對(duì)外，不需要做(zuò)等保？

從技術角度而言，内網不表示安全，并且純粹的(de)物(wù)理(lǐ)内網并不多(duō)見，或多(duō)或少都以直接或間接的(de)方式與互聯網有聯系。

從法律法規的(de)角度來(lái)說，所有非涉密系統都屬于等級保護範疇，和(hé)系統在外網還(hái)是内網沒有關系。

其次在内網的(de)系統往往其網絡安全技術措施做(zuò)的(de)并不好，甚至不少系統已經中毒或已經有危險潛伏，所以不論系統在内網還(hái)是外網都得(de)及時(shí)開展等保工作。

03、已經托管到雲的(de)系統不需要做(zuò)等保？

根據“誰運營誰負責，誰使用(yòng)誰負責，誰主管誰負責”的(de)原則，該系統責任主體還(hái)是屬于網絡運營者自己，所以還(hái)是得(de)承擔相應的(de)網絡安全責任，該進行系統定級的(de)還(hái)是得(de)定級，該做(zuò)等保的(de)還(hái)是得(de)做(zuò)等保。

系統上雲或托管後，并不是安全責任主體轉移，隻是系統所在機房(fáng)地址的(de)變更，當然在公有雲模式下(xià)，Iaas、Paas、Saas不同模式相應的(de)安全責任會有些區(qū)别，但是并不是沒有責任。

04、等保就是做(zuò)個(gè)測評就可(kě)以？

等級保護工作不僅隻是一個(gè)測評，而是包含定級、備案、測評、建設整改和(hé)監督審查五項内容，測評隻是其中一項也(yě)是開始，更重要的(de)是通(tōng)過測評尋找出差距，分(fēn)析出目前系統存在的(de)風險，及時(shí)查漏補缺，進行安全建設整改，提高(gāo)信息系統的(de)安全防護能力，降低系統受到攻擊破壞的(de)概率。

05、系統定級越低越好？

系統的(de)最終定級是根據受侵害的(de)客體以及對(duì)客體侵害的(de)程度來(lái)确定的(de)，以事實爲根據，而不是主觀随意定級。定級低了(le)，表面上要求更容易滿足，但相應的(de)防護措施也(yě)相對(duì)不足，一旦遭受攻擊，反而得(de)不償失。

06、一個(gè)單位隻要做(zuò)一個(gè)等保測評就可(kě)以？

等保測評是按照(zhào)信息系統來(lái)的(de)，以一個(gè)信息系統爲測評整體，并不是按照(zhào)一個(gè)單位去做(zuò)的(de)。

一個(gè)完整的(de)信息系統包括承載其的(de)物(wù)理(lǐ)機房(fáng)、服務器、主機、應用(yòng)、數據庫、網絡設備及安全設備等，測評除了(le)這(zhè)些具體的(de)實體對(duì)象，還(hái)包括相對(duì)應的(de)安全管理(lǐ)制度。

07、等保測評隻要做(zuò)一次就可(kě)以？

等保工作是一個(gè)持續的(de)工作，等保測評也(yě)是一個(gè)周期性的(de)工作，三級及以上系統要求每年測評一次，二級系統部分(fēn)行業明(míng)确要求每兩年測評一次，沒有明(míng)确要求的(de)行業一般建議(yì)兩年做(zuò)一次測評。

08、等保測評做(zuò)完要花很多(duō)錢去整改？

整改花多(duō)少錢取決于信息系統等級、系統現有安全防護措施狀況以及網絡運營者對(duì)測評分(fēn)數的(de)期望值，不一定要花很多(duō)錢。

整改的(de)内容大(dà)體分(fēn)爲：安全制度完善、安全加固等安全服務以及安全設備的(de)添置。

在安全制度及安全加固上網絡運營者自己可(kě)以做(zuò)很多(duō)整改工作或者委托供應商進行加固。這(zhè)些内容整改好，加上一定的(de)安全技術措施，大(dà)緻上可(kě)以滿足基本符合的(de)要求，所以花多(duō)少錢要看怎麽去做(zuò)或者對(duì)網絡安全的(de)期望值是多(duō)少。

09、雲系統到哪裏進行系統定級備案？

雲系統由于部署在各類雲平台上面，而雲平台的(de)實際物(wù)理(lǐ)地址往往和(hé)雲系統網絡運營者不在同一地址，大(dà)型雲平台還(hái)有許多(duō)物(wù)理(lǐ)節點，很難确定雲平台的(de)具體物(wù)理(lǐ)地址，因此從方便屬地公安監管的(de)角度出發，應該在系統實際運維團隊所在地市網安部門進行系統備案。

避開以上誤區(qū)，讓等級保護工作更完美(měi)。上海觀初網絡科技有限公司專注于爲企業提供信息安全解決方案的(de)技術服務公司。關注我們帶你了(le)解更多(duō)信息安全知識。