1、云平台布设系统应在系统实际运维团队所在地市网安部门进行系统定级备案
概况:现在已经是各种云平台大行其道的时代,很多企事业单位都选择了将自己的系统布设在云端,这就会出现一个很实际的问题:布设运营单位和云平台的实际物理地址很有可能地址并不相同,还避免不了的出现大型云平台物理节点众多,无法确定具体地址的情况。在这种情况下,云系统应该选择去哪个注册地址备案呢?如果再出现云系统的运维团队不在企事业所在的注册地办公又咋办?去企事业单位的注册地址备案么?
正确做法:企事业单位建设的云系统应该去该系统的真正运行和维护团队所在地市的网络安全部门进行系统备案,这样更方便所属地公安机关对云系统进行有效的监管。
拓展知识:如果需要定级的对象布设再云端,那么需要将云端的服务方云计算平台和租户方分别作为单独定级的对象进行定级。
2、无论系统放在哪里,都需要对网络运营者进行系统定级和等级保护
概况:目前市面上存在很多云,分成公有云和私有云,但无论系统是存在云端还是托管在IDC机房,系统创建者往往觉得系统已经不存在于自己的机房,系统的安全运维就与自己无关,所以可以不用做等保等工作了。
正确做法:“谁运营谁负责,谁使用谁负责,谁主管谁负责”是基本原则,系统无论存放在哪里,它的责任主体都应该属于该系统真正的网络运营方,必须承担相关网络安全责任,都需要按照相关要求积极对系统进行定级、等保等工作。
拓展知识:虽然针对不同模式的系统会有安全责任的区别,但系统的安全责任并没有发生主题转移,网络运营方还是需要担负起相应的责任。(系统模式包括Saas、Iaas、Paas等)
3、系统定二级还是三级,是以事实为依据,非人为决定
概况:在现实情况中,很多企事业单位在给系统定级时,都希望能选择低级别,因为技术要求不高,相关工作量少,测评的间隔时间更长,后期麻烦少。所以希望定低级别,更省事。
正确做法:系统定级是根据受侵害的客体以及对客体侵害的程度来确定的,是依据事实基础而定。如果擅自将级别定低,可能导致系统的安全防护措施达不到抵制攻击破坏的要求,防护能力不足,造成不好的影响。这是网络运营方没有好好落实网络安全保护义务的一种表现,直接可能导致主管部门对其追责,甚至进行处罚——是不是太得不偿失了!所以还是以事实为依据,正确定级为上策。
拓展知识:系统定级过程会越来越规范,等保2.0已经发布,定级流程里面已经加入了专家和主管部门审核的环节,未来系统定级也会越来越准确。
4、系统不定级也存在监管,定级能帮助运营单位发现问题、开展工作
概况:很多企事业单位不希望给自己的系统定级,因为不希望总是接受主管单位的检查,增加很多在他们看来没必要的麻烦,怕处处受限,感觉不好。
正确做法:只要系统不涉密就属于等级保护范畴有,主管单位会监管所有的系统,无论是否定级。而且如果出事了,没有定级的系统会更麻烦。主管单位会为定级系统的重要信息进行定期的扫描和保护,如果发现了问题也会及时告知,防止系统被黑客攻击。同时,主管单位也会定期召开会议,方便定级系统运营单位了解最新的政策、网安形势,帮助开展网安工作。所以及时进行系统定级,是非常必要的。
拓展知识:不是所有的定级系统都会接受安全检查,因为需要检查的单位实在是太多,主管单位时间是有限的,他们会根据各个系统的综合因素统一安排检查,所以系统运营方也不用过于担心。再说了,被检查就能发现系统存在的隐患和问题,这未尝不是一件好事。
5、等级保护包含五项内容,等保测评只是其中一项
概况:有很多企事业单位都以为做等级保护就是系统定级+备案+测评。
正确做法:等级保护工作包含五项内容,分别是:定级、备案、测评、建设整改和监督审查,等保测评只是其中一项,所以要做的工作还有很多呀!
拓展知识:对于等级保护相关工作而言,等保测评只是一个开端,相关单位让系统运营单位做等保,是为了分析系统可能存在的风险并及时的修补漏洞,改正错误,找出和健康系统之间存在的差距。所以等级保护的关键在于建设整改和提高系统的安全防护能力,这样才能使系统尽可能地避免受到黑客攻击等恶意破坏。
6、等保测评是周期性、持续性工作,不同等级要求0.5-2年做一次。
概况:很多企事业单位觉得等级保护是一个形式性的工作,抱有应付态度,觉得“做完这次就拉倒”。
正确做法:等级保护工作是需要持续进行的,特别是等保测评。针对不同级别的系统会有不同的测评周期要求:4级0.5年一次,3级1年一次,2级2年一次(有行业区别,但都明确或建议2年做一次)
拓展知识:等级保护测评是对系统防护水平的测试,不应该应付了事。企事业单位的系统如果按照等保要求认真做好,在合规的同时,也能切实做好网络安全工作。
7、不做等级保护可能面临被处罚
概况:有不少企事业单位认为只要不涉及网络安全、网络攻击事件就可以不做等级保护,没出事而就行。
正确做法:《中华人民共和国网络安全法》第二十一条做过相关规定(具体内容就不赘述了),如果系统运营方不做等级保护属于违反“其他义务”的行为,是可能面临被处罚的情况。之前也已经有过类似的报道出现,所以及时做等级保护吧,别等到挨罚了再火急火燎地去折腾。
拓展知识:安全总是相对的,但该做的事情要及时去做。按照政策法规的要求严格执行,也是保护企事业安全的一种措施。
8、系统就算在内网也需要及时开展等级保护工作
概况:很多企事业单位的将系统存在单位的内网或者专网中,认为不对外=安全,这样就可以不用开展等级保护工作了。
正确做法:只要不是涉密系统就需等级保护,和放在哪个网无关。而且内网相较于外网的保护措施可能更弱,反倒容易中毒和被攻击。所以就算是内网的系统,也要及时开展等级保护工作!
拓展知识:内网不代表安全,而且现在纯粹的物理内网很少了,大部分或多或少都与互联网有些连接。内网一旦中毒,扩散很快,而且很难清除,因为很多技术措施都没有,几乎在裸奔状态,一旦中毒很容易就跨了。
9、等保测评以系统为单位进行,无法针对“单位”整体开展
概况:现实情况下,很多企事业单位并没有明白等级保护的意义,他们误认为是针对“单位”开展的业务,觉得对自己的单位做一次等级保护测评就完事。
正确做法:等保测评以系统为单位进行的,单位有多少个信息系统就需要做多少次等保测评。
拓展知识:信息系统通常情况下由很多实物构成,例如服务器、主机、数据库、设备等,等保测评除了测实物还需要测相关的安全管理制度。
10、等保测评后整改的花销由系统的等级、措施等决定,并不一定“很高”
概况:总有企事业单位担忧昨晚等保测评后需要花“很多钱“进行安全建设整改。
正确做法:等保整改需要花多少钱和信息系统的等级、已有的安全防护措施状况以及网络运营者对测评分数的期望值有关,并不一定“很高”,还有可能不花钱呢!
拓展知识:等保整改包括:安全制度完善、安全加固等安全服务以及安全设备的添置。前两者的费用一般都包含在前期和系统集成商签订的合约中,并不需要太多额外的花销。整改后如果企事业具备一定的安全技术措施,达到“基本符合“的结论问题不大。至于到底需要花多少钱,和系统运营方的期望与实施方案呈正相关。
关于等保测评(等保2.0)、系统定级、等保合规等业务,欢迎有相关需求的企业和个人联系我们。