等保2.0新規(guī)來臨我們該如何做?
等級保護即將實施。等級保護從最初的1時代跨越到了時代,其制度也得到了突破性的進展,體系和相關的標準制度均有所改變。
等級保護工作需要在安全技術、管理上匹配和安全等級相適應的安全控制,利用各種控制措施的連接、交互、依賴、協(xié)調(diào)、協(xié)同性來實現(xiàn)信息系統(tǒng)的安全防護。那么在等級保護工作中,有什么需要注意的地方呢?
01 云系統(tǒng)需要在哪進行系統(tǒng)定級備案?
由于云系統(tǒng)分布在各類云平臺上面,其真實的物理地址通常和云系統(tǒng)網(wǎng)絡運營者的地址不在一處,比較大的云平臺物理節(jié)點較多,很難對具體的物理地址進行定位。從方便屬地公安機關監(jiān)管的角度出發(fā),系統(tǒng)備案工作應該在系統(tǒng)實際的運維團隊所在的地市網(wǎng)安部門進行。
02 托管的云系統(tǒng)是否需要開展等保工作?
系統(tǒng)在上云或者托管后,只是變更了系統(tǒng)所在機房的地址,安全責任主體并沒有發(fā)生變化。根據(jù)“誰運營誰負責,誰使用誰負責,誰主管誰負責”的原則,系統(tǒng)的責任主體還是網(wǎng)絡運營者,所以網(wǎng)絡運營者還是得承擔相應的網(wǎng)絡安全責任,該做的相關安全工作還是需要做到位。
03 系統(tǒng)定級隨便定?
最終定級還是需要根據(jù)要求來確定的,不能按照自己的主觀意識隨意定級,如果定級定低了,看起來是滿足了要求,但是相應的防護措施跟不上,一旦遭受到攻擊,后果還是很嚴重的。
04 內(nèi)網(wǎng)需要做等保嗎?
從技術的角度來說,內(nèi)網(wǎng)并不是一定安全的,而且純粹的物理內(nèi)網(wǎng)十分稀少,多多少少都會和互聯(lián)網(wǎng)有所聯(lián)系。
從法律法規(guī)的角度來看,所有非涉密系統(tǒng)都是等級保護的范疇,不論系統(tǒng)是在外網(wǎng)還是內(nèi)網(wǎng)都沒有區(qū)別。所以只要有系統(tǒng),不管是在內(nèi)網(wǎng)還是外網(wǎng)都要開展等保工作。
05 等保測評做一次就夠了嗎?
等保工作是講究周期性的,是一個持續(xù)性的工作,按照相關規(guī)定要求三級系統(tǒng)每年需要做一次測評,四級系統(tǒng)每隔半年要做一次測評,二級系統(tǒng)部分行業(yè)明確規(guī)定每隔兩年要做一次測評,沒有明確規(guī)定的行業(yè)一般建議兩年做一次測評。
06 系統(tǒng)很安全,為什么一定要做等保?
根據(jù)《中華人民共和國網(wǎng)絡安全法》第二十一條
國家實行網(wǎng)絡安全等級保護制度。網(wǎng)絡運營者應當按照網(wǎng)絡安全等級保護制度的要求,履行下列安全保護義務,保障網(wǎng)絡免受干擾、破壞或者未經(jīng)授權(quán)的訪問,防止網(wǎng)絡數(shù)據(jù)泄露或者被竊取、篡改:
……
(五)法律、行政法規(guī)規(guī)定的其他義務。
不做等保就屬于不履行相關的法律義務,國內(nèi)目前已經(jīng)有公開報道的因沒有落實等級保護制度而被處罰的真實案例,所以等保這件事,只爭朝夕,趕緊去做吧!
07 如何開展等保?
等保工作不僅只有測評,它一共包含了五個部分的工作:定級、備案、測評、建設整改和監(jiān)督審查?,F(xiàn)今等級保護制度已經(jīng)步入了“2”的時代,其需求也越來越細致,對安全的要求也越來越高。企業(yè)如果盲目的自己開展等保工作將會走錯許多的路,我們可以找到當?shù)氐南嚓P等保服務機構(gòu)來協(xié)助我們完成等保工作。
等級保護工作需要在安全技術、管理上匹配和安全等級相適應的安全控制,利用各種控制措施的連接、交互、依賴、協(xié)調(diào)、協(xié)同性來實現(xiàn)信息系統(tǒng)的安全防護。那么在等級保護工作中,有什么需要注意的地方呢?
01 云系統(tǒng)需要在哪進行系統(tǒng)定級備案?
由于云系統(tǒng)分布在各類云平臺上面,其真實的物理地址通常和云系統(tǒng)網(wǎng)絡運營者的地址不在一處,比較大的云平臺物理節(jié)點較多,很難對具體的物理地址進行定位。從方便屬地公安機關監(jiān)管的角度出發(fā),系統(tǒng)備案工作應該在系統(tǒng)實際的運維團隊所在的地市網(wǎng)安部門進行。
02 托管的云系統(tǒng)是否需要開展等保工作?
系統(tǒng)在上云或者托管后,只是變更了系統(tǒng)所在機房的地址,安全責任主體并沒有發(fā)生變化。根據(jù)“誰運營誰負責,誰使用誰負責,誰主管誰負責”的原則,系統(tǒng)的責任主體還是網(wǎng)絡運營者,所以網(wǎng)絡運營者還是得承擔相應的網(wǎng)絡安全責任,該做的相關安全工作還是需要做到位。
03 系統(tǒng)定級隨便定?
最終定級還是需要根據(jù)要求來確定的,不能按照自己的主觀意識隨意定級,如果定級定低了,看起來是滿足了要求,但是相應的防護措施跟不上,一旦遭受到攻擊,后果還是很嚴重的。
04 內(nèi)網(wǎng)需要做等保嗎?
從技術的角度來說,內(nèi)網(wǎng)并不是一定安全的,而且純粹的物理內(nèi)網(wǎng)十分稀少,多多少少都會和互聯(lián)網(wǎng)有所聯(lián)系。
從法律法規(guī)的角度來看,所有非涉密系統(tǒng)都是等級保護的范疇,不論系統(tǒng)是在外網(wǎng)還是內(nèi)網(wǎng)都沒有區(qū)別。所以只要有系統(tǒng),不管是在內(nèi)網(wǎng)還是外網(wǎng)都要開展等保工作。
05 等保測評做一次就夠了嗎?
等保工作是講究周期性的,是一個持續(xù)性的工作,按照相關規(guī)定要求三級系統(tǒng)每年需要做一次測評,四級系統(tǒng)每隔半年要做一次測評,二級系統(tǒng)部分行業(yè)明確規(guī)定每隔兩年要做一次測評,沒有明確規(guī)定的行業(yè)一般建議兩年做一次測評。
06 系統(tǒng)很安全,為什么一定要做等保?
根據(jù)《中華人民共和國網(wǎng)絡安全法》第二十一條
國家實行網(wǎng)絡安全等級保護制度。網(wǎng)絡運營者應當按照網(wǎng)絡安全等級保護制度的要求,履行下列安全保護義務,保障網(wǎng)絡免受干擾、破壞或者未經(jīng)授權(quán)的訪問,防止網(wǎng)絡數(shù)據(jù)泄露或者被竊取、篡改:
……
(五)法律、行政法規(guī)規(guī)定的其他義務。
不做等保就屬于不履行相關的法律義務,國內(nèi)目前已經(jīng)有公開報道的因沒有落實等級保護制度而被處罰的真實案例,所以等保這件事,只爭朝夕,趕緊去做吧!
07 如何開展等保?
等保工作不僅只有測評,它一共包含了五個部分的工作:定級、備案、測評、建設整改和監(jiān)督審查?,F(xiàn)今等級保護制度已經(jīng)步入了“2”的時代,其需求也越來越細致,對安全的要求也越來越高。企業(yè)如果盲目的自己開展等保工作將會走錯許多的路,我們可以找到當?shù)氐南嚓P等保服務機構(gòu)來協(xié)助我們完成等保工作。