关注网络与数据安全

忘记密码
“游侠安全网”创建了网络安全从业者QQ大群(群号:389710688) ,欢迎各位同仁加入!有其它问题,请联系站长“网路游侠”,QQ:55984512


工控安全等级保护工作八大误区(下)

2018-07-07 18:46 推荐: 浏览: 185字号:

摘要:5.不做等保没关系,只要不出事就行?背景:一些用户以为做不做等保不要紧,关揵的是不要出网络安全事件,只要不出事都没问题。 答:《中华人民共和国网络安全法》第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下...

5.不做等保没关系,只要不出事就行?

背景:一些用户以为做不做等保不要紧,关揵的是不要出网络安全事件,只要不出事都没问题。

答:《中华人民共和国网络安全法》第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:(五)法律、行政法规规定的其他义务。不做等保就属于第五个行为,国内目前已经有公开报道的因没有落实等级保护制度而被处罚的真实案例。所以等保及时去做,不要等。

扩展:网络安全技术发展日新月异,什么叫安全?买什么产品做什么服务就能安全?绝对的安全是不可能的,我们不能百分百保证我们的系统是安全的,但是我们得把我们能做的工作及时做到位,该做的工作做到了,自然也就相对安全了。

6.系统在内网,就不需要做等保了?

背景:不少用户的系统都在单位内网或者专网中,觉得系统不对外相对安全,所以就可以不做等保了。

答:首先所有非涉密系统都属于等级保护范畴,和系统在外网还是内网没有关系;其次在内网的系统往往其网络安全技术措施做的并不好,甚至不少系统已经中毒不浅。所以不论系统在内网还是外网都得及时开展等保工作。

扩展:内网不代表安全,而且现在纯粹的物理内网很少了,大部分或多或少都与互联网有些连接。内网一旦中毒,扩散很快,而且很难清除,因为很多技术措施都没有,几乎在裸奔状态,一旦中毒很容易就跨了。

7.给我们单位整体做一个等保测评?

背景:一些用户或者同行搞不清等保到底是个什么情况,以为是按照整个单位去做,天真地认为一个单位做一个等保测评就可以。

答:等保测评是按照信息系统来的,以一个信息系统为测评整体,并不是按照一个单位去做的。

扩展:一个完整的信息系统包括承载其的物理机房、服务器、主机、应用、数据库、网络设备及安全设备等等,测评除了这些具体的实体对象,还包括相对应的安全管理制度。

8.等保测评做完,得花很多钱去整改?

背景:一些客户有疑虑:测评是没有多少钱,但是测评后需要进行安全建设整改,需要花很多钱。

答:整改花多少钱取决于你的信息系统等级、系统现有的安全防护措施状况以及网络运营者对测评分数的期望值,不一定要花很多钱甚至不花钱。

扩展:整改的内容大体分为:安全制度完善、安全加固等安全服务以及安全设备的添置。在安全制度及安全加固上网络运营者自己可以做很多整改工作或者委托系统集成方进行加固,往往这是不需要额外付费的或者是包含在你和系统集成方合同约定中的,这两块内容整改好,加上你有一定的安全技术措施,基本上是可以达到基本符合的结论的。所以花多少钱看你怎么去做或者你的期望值是多少。

联系站长租广告位!

中国首席信息安全官
Copy link