摘要: 1、系统定级越低越好? 背景:一些客户担心系统定级定高了后期给自己工作增加麻烦,一方面等级高了,技术要求高了,需要做的工作多了;另一方面三级系统需要每年都做测评,也觉得麻烦。所以想着系统定个二级就可以了,自己省事。 答:首先系统到底定几级是根据受侵害的客体以...
1、系统定级越低越好?
背景:一些客户担心系统定级定高了后期给自己工作增加麻烦,一方面等级高了,技术要求高了,需要做的工作多了;另一方面三级系统需要每年都做测评,也觉得麻烦。所以想着系统定个二级就可以了,自己省事。
答:首先系统到底定几级是根据受侵害的客体以及对客体侵害的程度来确定的,是以事实为根据,而不是拍脑袋决定的。系统等级定低了,乍一看可能工作上是容易做了,但是反而是我们没有落实好网络安全保护义务的直接表现,系统等级低了相应的安全防护要求也低了,那么万一你的系统不小心被攻击破坏造成一定不良影响,在主管部门进行责任认定追查时,很有可能就会因为系统定级不合理,安全责任没有履行到位而被处罚。得不偿失,还是安安稳稳把自己该做的工作做好。
扩展:2018年发布的《网络安全等级保护条例》(意见征求稿),规定第二级以上的网络,其运营者应当组织专家评审,有行业主管部门的,应当在评审后报请主管部门核准。跨省或者全国统一联网运行的网络由行业主管部门统一拟定安全保护等级,统一组织定级评审。
2、系统定完级就有人来管了?
背景:一些客户会觉得系统定了级以后相关主管单位就会不时地来安全检查了,给自己的工作增加了麻烦,被人管的感觉很不好。
答:没有定级不代表不需要被监管,相反如果没有被纳入监管,反而会比较危险,哪天出了事就比较难收拾残局。定级后或者被监管,主管单位会在重点时刻对我们的重要信息系统进行一定扫描及保护,会及时告知发现的一些问题,避免发生网络安全攻击事件;同时一些重要的政策要求或者行业会议,也会通知你们过来参会,方便大家及时了解最新的网络安全形势,有利于大家开展好网络安全工作。
扩展:做了等保后,主管单位去不去你们单位检查,要参考很多因素的,其中一点是要参考你们单位的系统定级。
2018年发布的《网络安全等级保护条例》(征求意见稿)中规定:公安机关对第三级以上网络运营者每年至少开展一次安全检查。涉及相关行业的可以会同其行业主管部门开展安全检查。必要时,公安机关可以委托社会力量提供技术支持。来检查是好事,可以及时发现问题,督促指导大家开展好网络安全工作。
2018年发布的《网络安全等级保护条例》(征求意见稿)中规定:企业每年要进行自查工作:网络运营者应当每年对本单位落实网络安全等级保护制度情况和网络安全状况至少开展一次自查,发现安全风险隐患及时整改,并向备案的公安机关报告。
3、等级保护工作就是做个测评就可以?
背景:一些人以为等级保护工作主要就是对系统进行定级备案,然后做个测评就可以了。
答:等级保护工作不仅是一个测评而是包含:定级、备案、测评、建设整改和监督审查五项内容,测评只是其中一项。
扩展:测评只是开始,更重要的是我们通过测评寻找出差距,分析出目前我们的系统存在的风险,及时查漏补缺,进行安全建设整改,提高信息系统的安全防护能力,降低系统受到攻击破坏的概率。
4、等保测评做过一次就可以了,以后随便做不做?
背景:一些客户以为等保测评只要做过一次就行了,以后就不用做了。把等保工作当成一个形式当成应付工程去做。
答:等保工作是一个持续的工作,等保测评也是一个周期性的工作。
扩展:做等保测评不应当抱着应付的心态去做,如果大家的系统真能按照等级保护的要求去做好,那么你的系统安全防护水平还是很高的。做了等保,一方面是合规,更多的是切切实实协助我们做好单位的网络安全工作。
2018年发布的《网络安全等级保护条例》(征求意见稿)规定:第三级以上网络的运营者应当每年开展一次网络安全等级测评,发现并整改安全风险隐患,并每年将开展网络安全等级测评的工作情况及测评结果向备案的公安机关报告。
