等保2.0新規(guī)來(lái)臨我們?cè)撊绾巫觯?/h2>
等級(jí)保護(hù)即將實(shí)施。等級(jí)保護(hù)從最初的1時(shí)代跨越到了時(shí)代,其制度也得到了突破性的進(jìn)展,體系和相關(guān)的標(biāo)準(zhǔn)制度均有所改變。
等級(jí)保護(hù)工作需要在安全技術(shù)、管理上匹配和安全等級(jí)相適應(yīng)的安全控制,利用各種控制措施的連接、交互、依賴、協(xié)調(diào)、協(xié)同性來(lái)實(shí)現(xiàn)信息系統(tǒng)的安全防護(hù)。那么在等級(jí)保護(hù)工作中,有什么需要注意的地方呢?
01 云系統(tǒng)需要在哪進(jìn)行系統(tǒng)定級(jí)備案?
由于云系統(tǒng)分布在各類云平臺(tái)上面,其真實(shí)的物理地址通常和云系統(tǒng)網(wǎng)絡(luò)運(yùn)營(yíng)者的地址不在一處,比較大的云平臺(tái)物理節(jié)點(diǎn)較多,很難對(duì)具體的物理地址進(jìn)行定位。從方便屬地公安機(jī)關(guān)監(jiān)管的角度出發(fā),系統(tǒng)備案工作應(yīng)該在系統(tǒng)實(shí)際的運(yùn)維團(tuán)隊(duì)所在的地市網(wǎng)安部門進(jìn)行。
02 托管的云系統(tǒng)是否需要開(kāi)展等保工作?
系統(tǒng)在上云或者托管后,只是變更了系統(tǒng)所在機(jī)房的地址,安全責(zé)任主體并沒(méi)有發(fā)生變化。根據(jù)“誰(shuí)運(yùn)營(yíng)誰(shuí)負(fù)責(zé),誰(shuí)使用誰(shuí)負(fù)責(zé),誰(shuí)主管誰(shuí)負(fù)責(zé)”的原則,系統(tǒng)的責(zé)任主體還是網(wǎng)絡(luò)運(yùn)營(yíng)者,所以網(wǎng)絡(luò)運(yùn)營(yíng)者還是得承擔(dān)相應(yīng)的網(wǎng)絡(luò)安全責(zé)任,該做的相關(guān)安全工作還是需要做到位。
03 系統(tǒng)定級(jí)隨便定?
最終定級(jí)還是需要根據(jù)要求來(lái)確定的,不能按照自己的主觀意識(shí)隨意定級(jí),如果定級(jí)定低了,看起來(lái)是滿足了要求,但是相應(yīng)的防護(hù)措施跟不上,一旦遭受到攻擊,后果還是很嚴(yán)重的。
04 內(nèi)網(wǎng)需要做等保嗎?
從技術(shù)的角度來(lái)說(shuō),內(nèi)網(wǎng)并不是一定安全的,而且純粹的物理內(nèi)網(wǎng)十分稀少,多多少少都會(huì)和互聯(lián)網(wǎng)有所聯(lián)系。
從法律法規(guī)的角度來(lái)看,所有非涉密系統(tǒng)都是等級(jí)保護(hù)的范疇,不論系統(tǒng)是在外網(wǎng)還是內(nèi)網(wǎng)都沒(méi)有區(qū)別。所以只要有系統(tǒng),不管是在內(nèi)網(wǎng)還是外網(wǎng)都要開(kāi)展等保工作。
05 等保測(cè)評(píng)做一次就夠了嗎?
等保工作是講究周期性的,是一個(gè)持續(xù)性的工作,按照相關(guān)規(guī)定要求三級(jí)系統(tǒng)每年需要做一次測(cè)評(píng),四級(jí)系統(tǒng)每隔半年要做一次測(cè)評(píng),二級(jí)系統(tǒng)部分行業(yè)明確規(guī)定每隔兩年要做一次測(cè)評(píng),沒(méi)有明確規(guī)定的行業(yè)一般建議兩年做一次測(cè)評(píng)。
06 系統(tǒng)很安全,為什么一定要做等保?
根據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第二十一條
國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求,履行下列安全保護(hù)義務(wù),保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問(wèn),防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改:
……
(五)法律、行政法規(guī)規(guī)定的其他義務(wù)。
不做等保就屬于不履行相關(guān)的法律義務(wù),國(guó)內(nèi)目前已經(jīng)有公開(kāi)報(bào)道的因沒(méi)有落實(shí)等級(jí)保護(hù)制度而被處罰的真實(shí)案例,所以等保這件事,只爭(zhēng)朝夕,趕緊去做吧!
07 如何開(kāi)展等保?
等保工作不僅只有測(cè)評(píng),它一共包含了五個(gè)部分的工作:定級(jí)、備案、測(cè)評(píng)、建設(shè)整改和監(jiān)督審查?,F(xiàn)今等級(jí)保護(hù)制度已經(jīng)步入了“2”的時(shí)代,其需求也越來(lái)越細(xì)致,對(duì)安全的要求也越來(lái)越高。企業(yè)如果盲目的自己開(kāi)展等保工作將會(huì)走錯(cuò)許多的路,我們可以找到當(dāng)?shù)氐南嚓P(guān)等保服務(wù)機(jī)構(gòu)來(lái)協(xié)助我們完成等保工作。
等級(jí)保護(hù)工作需要在安全技術(shù)、管理上匹配和安全等級(jí)相適應(yīng)的安全控制,利用各種控制措施的連接、交互、依賴、協(xié)調(diào)、協(xié)同性來(lái)實(shí)現(xiàn)信息系統(tǒng)的安全防護(hù)。那么在等級(jí)保護(hù)工作中,有什么需要注意的地方呢?
01 云系統(tǒng)需要在哪進(jìn)行系統(tǒng)定級(jí)備案?
由于云系統(tǒng)分布在各類云平臺(tái)上面,其真實(shí)的物理地址通常和云系統(tǒng)網(wǎng)絡(luò)運(yùn)營(yíng)者的地址不在一處,比較大的云平臺(tái)物理節(jié)點(diǎn)較多,很難對(duì)具體的物理地址進(jìn)行定位。從方便屬地公安機(jī)關(guān)監(jiān)管的角度出發(fā),系統(tǒng)備案工作應(yīng)該在系統(tǒng)實(shí)際的運(yùn)維團(tuán)隊(duì)所在的地市網(wǎng)安部門進(jìn)行。
02 托管的云系統(tǒng)是否需要開(kāi)展等保工作?
系統(tǒng)在上云或者托管后,只是變更了系統(tǒng)所在機(jī)房的地址,安全責(zé)任主體并沒(méi)有發(fā)生變化。根據(jù)“誰(shuí)運(yùn)營(yíng)誰(shuí)負(fù)責(zé),誰(shuí)使用誰(shuí)負(fù)責(zé),誰(shuí)主管誰(shuí)負(fù)責(zé)”的原則,系統(tǒng)的責(zé)任主體還是網(wǎng)絡(luò)運(yùn)營(yíng)者,所以網(wǎng)絡(luò)運(yùn)營(yíng)者還是得承擔(dān)相應(yīng)的網(wǎng)絡(luò)安全責(zé)任,該做的相關(guān)安全工作還是需要做到位。
03 系統(tǒng)定級(jí)隨便定?
最終定級(jí)還是需要根據(jù)要求來(lái)確定的,不能按照自己的主觀意識(shí)隨意定級(jí),如果定級(jí)定低了,看起來(lái)是滿足了要求,但是相應(yīng)的防護(hù)措施跟不上,一旦遭受到攻擊,后果還是很嚴(yán)重的。
04 內(nèi)網(wǎng)需要做等保嗎?
從技術(shù)的角度來(lái)說(shuō),內(nèi)網(wǎng)并不是一定安全的,而且純粹的物理內(nèi)網(wǎng)十分稀少,多多少少都會(huì)和互聯(lián)網(wǎng)有所聯(lián)系。
從法律法規(guī)的角度來(lái)看,所有非涉密系統(tǒng)都是等級(jí)保護(hù)的范疇,不論系統(tǒng)是在外網(wǎng)還是內(nèi)網(wǎng)都沒(méi)有區(qū)別。所以只要有系統(tǒng),不管是在內(nèi)網(wǎng)還是外網(wǎng)都要開(kāi)展等保工作。
05 等保測(cè)評(píng)做一次就夠了嗎?
等保工作是講究周期性的,是一個(gè)持續(xù)性的工作,按照相關(guān)規(guī)定要求三級(jí)系統(tǒng)每年需要做一次測(cè)評(píng),四級(jí)系統(tǒng)每隔半年要做一次測(cè)評(píng),二級(jí)系統(tǒng)部分行業(yè)明確規(guī)定每隔兩年要做一次測(cè)評(píng),沒(méi)有明確規(guī)定的行業(yè)一般建議兩年做一次測(cè)評(píng)。
06 系統(tǒng)很安全,為什么一定要做等保?
根據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第二十一條
國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求,履行下列安全保護(hù)義務(wù),保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問(wèn),防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改:
……
(五)法律、行政法規(guī)規(guī)定的其他義務(wù)。
不做等保就屬于不履行相關(guān)的法律義務(wù),國(guó)內(nèi)目前已經(jīng)有公開(kāi)報(bào)道的因沒(méi)有落實(shí)等級(jí)保護(hù)制度而被處罰的真實(shí)案例,所以等保這件事,只爭(zhēng)朝夕,趕緊去做吧!
07 如何開(kāi)展等保?
等保工作不僅只有測(cè)評(píng),它一共包含了五個(gè)部分的工作:定級(jí)、備案、測(cè)評(píng)、建設(shè)整改和監(jiān)督審查?,F(xiàn)今等級(jí)保護(hù)制度已經(jīng)步入了“2”的時(shí)代,其需求也越來(lái)越細(xì)致,對(duì)安全的要求也越來(lái)越高。企業(yè)如果盲目的自己開(kāi)展等保工作將會(huì)走錯(cuò)許多的路,我們可以找到當(dāng)?shù)氐南嚓P(guān)等保服務(wù)機(jī)構(gòu)來(lái)協(xié)助我們完成等保工作。