网络安全等级保护制度虽然在我国已经实施了十多年的时间,不过大部分民众对等保制度可能还只是停留在表面上的理解,对等保制度很多内容产生了一定的误解。以下对几个常见的误区进行总结分析:
1、认为做等级测评,就是做安全认证
本人经常听到客户反馈的一句话就是:我们做完等保之后,多久可以拿到证书。由此可见,大家已经把等级测评等同于做安全认证了。2017年6月1起实施的《中华人民共和国网络安全法》中第二十一条明确规定:国家实行网络安全等级保护制度,网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务。由此可见等级保护并非相当于ISO 20000系列的信息技术服务管理认证,也并非于ISO27000系列的信息安全管理体系认证。等级保护制度是国家信息安全管理制度,是国家意志的体现。如果不落实等级保护制度要求,就无法满足国家法律法规要求。
既然等级保护测评没有相应的认证证书,那如何证明信息系统已经符合等级保护安全要求了呢?目前主要是由公安部授权委托的全国一百多家测评机构,对信息系统进行安全测评,测评通过后出具《等级保护测评报告》,拿到了符合等保安全要求的测评报告就证明该信息系统符合了等级保护的安全要求。
2、认为做了等级测评之后,系统就没有安全问题了
等保制度只是一个基线的要求,通过测评、整改,落实等级保护制度,确实能规避了大部分的安全风险。不过就目前的测评结果来看,几乎没有任何一个被测系统能全部满足等保要求。目前等级保护测评一般情况下只要不存在高危安全风险,都可以通过测评。且安全是一个动态调整、跟进的过程,而不是通过一次测评,就可以一劳永逸。企业应该通过落实等保安全要求,并严格执行各项安全管理的规章制度,才能做到系统的安全稳定运行。我们不能百分百保证我们的系统是安全的,但是我们得把我们能做的工作及时做到位,该做的工作做到了,自然也就相对安全了。
3、认为内网系统不需要做等级测评
不少用户的系统都在单位内网或者专网中,觉得系统不对外就相对安全,所以可以不做等保了。《网络安全法》规定,等级保护的对象是在中华人民共和国境内建设、运营、维护和使用的网络与信息系统。所以不管是内网还是外网系统,都需要符合等级保护安全要求。
4、认为系统已经上云或者托管在其他地方就不需要做等级测评了
目前接触的比较多的小型企业客户都偏向于把系统部署在云平台与IDC机房。这些云平台、IDC机房一般都通过了等级测评。不过根据“谁运营谁负责,谁使用谁负责,谁主管谁负责”的原则,该系统责任主体还是属于网络运营者自己,所以还是得承担相应的网络安全责任,该进行系统定级的还是得定级,该做等保的还是得做等保。部署在云平台的系统还需要购买云平台的安全服务或者第三方安全服务,部署在IDC机房的系统还需要购买相应的安全设备以满足等保安全要求。
5、认为可以根据自己的主观意愿来定级
目前等级保护对象(主要是信息系统),的安全级别一共分为五个等级,1级为最低级别,5级为最高级别(5级为预留级别,实际上市面上已定级的系统最高为4级)。如果定了1级,不需要做等级测评,自主进行保护即可。定2级以上就需要进行等级测评。系统级别的确定需要根据系统的重要性进行决定。如果定高了有可能造成投资的浪费,定低了有可能造成重要信息系统得不到应有的保护,所以应该谨慎定级。
等保1.0的要求是自主定级,有主管部门的需要主管部门审核,最终报送公安机关进行审核。等保2.0之后定级流程新增了“专家评审”和“主管部门审核”两个环节,这样定级过程将会变得更加规范,定级也会更加准确。
6、不知道系统应该在哪里备案
《信息安全等级保护管理办法》规定,等级保护的主体单位应该为信息系统运营、使用单位。所以备案主体一般不会是开发商、系统集成商,而是最终的用户方。
目前遇到有些单位注册地跟运营地不一致,正常情况下需要去运营地区网安部门办理备案手续。比如客户注册地在北京海淀区,运营部门在北京朝阳区,需要到北京朝阳区办理定级备案手续,当然前提是北京朝阳区必须有正规的办公地址。
有些单位的系统部署在云平台,云平台的实际物理地址往往和云系统网络运营者不在同一地址。且有些单位的运维团队和注册经营地址也不一致。这种情况下云系统应当在系统实际运维团队所在地市网安部门进行系统备案,因为这样方便属地公安对系统进行监管。
所以大部分情况还是以系统的实际运维人员所在地进行定级备案,当然也有一些特殊行业的要求,比如一些涉及到金融安全的行业,比如互联网金融系统、支付系统需要属地化管理,这些系统需要在注册地办理定级备案手续,以满足本地的监管要求。
许定航(网络安全等级测评师),具备十年等保工作经验,主要参与等保项目的组织协调与测评工作。作者邮箱:xudinghang@cfca.com.cn,欢迎大家提出宝贵的建议
声明:本文来自网安前哨,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。