客戶對等保測評的一些疑問及解答
客戶對等保測評的這些疑問,你都知道嗎?
Question1:等級保護(hù)就只是做個測評就可以了?答:等級保護(hù)工作不僅是一個測評,可以說測評只是等保工作的開始。
等保備案和等保測評僅僅是監(jiān)督這項工作的落實(shí)的法定程序。等級保護(hù)工作不僅是一個測評而是包含:定級、備案、測評、建設(shè)整改和監(jiān)督審查五項內(nèi)容,測評只是開始,更重要的是通過測評尋找出差距,分析出目前系統(tǒng)存在的風(fēng)險,及時查漏補(bǔ)缺,進(jìn)行安全建設(shè)整改,提高信息系統(tǒng)的安全防護(hù)能力,降低系統(tǒng)受到攻擊破壞的概率。
Question2:已經(jīng)做過等保測評了,系統(tǒng)就沒有安全問題了吧?
答:目前,想僅僅通過等保測評來保證系統(tǒng)的絕對安全,其實(shí)是不可能的。
通過測評、整改,落實(shí)等級保護(hù)制度,確實(shí)能規(guī)避了大部分的安全風(fēng)險。不過就目前的測評結(jié)果來看,幾乎沒有任何一個被測系統(tǒng)能全部滿足等保要求。目前,級保護(hù)測評一般情況下只要不存在高危安全風(fēng)險,都可以通過測評。且安全是一個動態(tài)調(diào)整、跟進(jìn)的過程,而不是通過一次測評,就可以一勞永逸。
Question3:我運(yùn)營的是內(nèi)網(wǎng)系統(tǒng),需不需要做等級測評?:
答:需要。不論系統(tǒng)在內(nèi)網(wǎng)還是外網(wǎng)都得及時開展等保工作。
實(shí)際上,所有非涉密系統(tǒng)都屬于等級保護(hù)范疇,和系統(tǒng)在外網(wǎng)還是內(nèi)網(wǎng)沒有關(guān)系。而且,在內(nèi)網(wǎng)的系統(tǒng)往往其網(wǎng)絡(luò)安全技術(shù)措施做的并不好,甚至不少系統(tǒng)已經(jīng)中毒不淺。內(nèi)網(wǎng)一旦中毒,擴(kuò)散很快,而且很難清除,因?yàn)楹芏嗉夹g(shù)措施都沒有,幾乎在裸奔狀態(tài),一旦中毒很容易就跨了。
Question4:等級保護(hù)測評結(jié)論不符合是不是等級保護(hù)工作就白做了?
答:等級保護(hù)測評結(jié)論不符合表示目前該信息系統(tǒng)存在高危風(fēng)險或整體安全性較差,不符合等保的相應(yīng)標(biāo)準(zhǔn)要求,但是這并不代表等級保護(hù)工作白做了。
即使你拿著不符合的測評報告,主管單位也是承認(rèn)你們單位今年的等級保護(hù)工作已經(jīng)開展過了,只是目前的問題較多,沒達(dá)到相應(yīng)的標(biāo)準(zhǔn)。