網(wǎng)絡(luò)安全等級(jí)保護(hù)常見注意事項(xiàng)

1、等級(jí)測評(píng)并非安全認(rèn)證 很多人容易把等保測評(píng)等同于安全認(rèn)證。等保測評(píng)并非相當(dāng)于ISO 20000系列的信息技術(shù)服務(wù)管理認(rèn)證，也并非于ISO27000系列的信息安全管理體系認(rèn)證。等級(jí)保護(hù)制度是國家信息安全管理的制度，是國家意志的體現(xiàn)。落實(shí)等級(jí)保護(hù)制度為了國家法律法規(guī)的合規(guī)需求。 等級(jí)保護(hù)測評(píng)沒有相應(yīng)的證書，如何才能證明信息系統(tǒng)已經(jīng)符合等級(jí)保護(hù)安全要求了呢？目前這主要是由公安部授權(quán)委托的全國一百多家測評(píng)機(jī)構(gòu)，對信息系統(tǒng)進(jìn)行安全測評(píng)，測評(píng)通過后出具《等級(jí)保護(hù)測評(píng)報(bào)告》，拿到了符合等保安全要求的測評(píng)報(bào)告就證明該信息系統(tǒng)符合了等級(jí)保護(hù)的安全要求。 

2、等保制度只是基本要求

等保制度只是基線的要求，通過測評(píng)、整改，落實(shí)等級(jí)保護(hù)制度，確實(shí)可以規(guī)避大部分的安全風(fēng)險(xiǎn)。但就目前的測評(píng)結(jié)果來看，幾乎沒有任何一個(gè)被測系統(tǒng)能全部滿足等保要求。一般情況下，目前等級(jí)保護(hù)測評(píng)過程中，只要沒發(fā)現(xiàn)高危安全風(fēng)險(xiǎn)，都可以通過測評(píng)。但是，安全是一個(gè)動(dòng)態(tài)而非靜止的過程，而不是通過一次測評(píng)，就可以一勞永逸的。 企業(yè)通過落實(shí)等保安全要求，并嚴(yán)格執(zhí)行各項(xiàng)安全管理的規(guī)章制度，基本能做到系統(tǒng)的安全穩(wěn)定運(yùn)行。但依然不能百分百保證系統(tǒng)的安全性。 

3、內(nèi)網(wǎng)系統(tǒng)也需要做等級(jí)測評(píng) 

首先，所有非涉密系統(tǒng)都屬于等級(jí)保護(hù)范疇，和系統(tǒng)在外網(wǎng)還是內(nèi)網(wǎng)沒有關(guān)系；《網(wǎng)絡(luò)安全法》規(guī)定，等級(jí)保護(hù)的對象是在中華人民共和國境內(nèi)建設(shè)、運(yùn)營、維護(hù)和使用的網(wǎng)絡(luò)與信息系統(tǒng)。因此，不管是內(nèi)網(wǎng)還是外網(wǎng)系統(tǒng)，都需要符合等級(jí)保護(hù)安全的要求。

其次，在內(nèi)網(wǎng)的系統(tǒng)往往其網(wǎng)絡(luò)安全技術(shù)措施做的并不好，甚至不少系統(tǒng)已經(jīng)中毒不淺。2017年肆虐全球的永恒之藍(lán)勒索病毒攻擊，導(dǎo)致了大量內(nèi)網(wǎng)系統(tǒng)癱瘓，這提醒我們內(nèi)網(wǎng)系統(tǒng)的安全防護(hù)同樣不能馬虎。所以不論系統(tǒng)在內(nèi)網(wǎng)還是外網(wǎng)都得及時(shí)開展等保工作。  

4、系統(tǒng)上云或者托管在其他地方就也需做等級(jí)測評(píng) 

目前，比較多的小型企業(yè)客戶偏向于把系統(tǒng)部署在云平臺(tái)與IDC機(jī)房。這些云平臺(tái)、IDC機(jī)房一般都通過了等級(jí)測評(píng)。不過，根據(jù)“誰運(yùn)營誰負(fù)責(zé)，誰使用誰負(fù)責(zé)，誰主管誰負(fù)責(zé)”的原則，系統(tǒng)責(zé)任主體仍然還是屬于網(wǎng)絡(luò)運(yùn)營者自己，所以，還是得承擔(dān)相應(yīng)的網(wǎng)絡(luò)安全責(zé)任，該進(jìn)行系統(tǒng)定級(jí)的還是得定級(jí)，該做等保的還是得做等保。 部署在云平臺(tái)的系統(tǒng)還需要購買云平臺(tái)的安全服務(wù)或者第三方安全服務(wù)，部署在IDC機(jī)房的系統(tǒng)還需要購買相應(yīng)的安全設(shè)備以滿足等保安全要求。 

5、不可根據(jù)自己的主觀意愿來定級(jí) 

目前的等級(jí)保護(hù)對象（信息系統(tǒng)）的安全級(jí)別分為五個(gè)等級(jí)：1級(jí)為最低級(jí)別，5級(jí)為最高級(jí)別（5級(jí)為預(yù)留級(jí)別，市面上已定級(jí)的系統(tǒng)最高為4級(jí)）。如果定了1級(jí)，不需要做等級(jí)測評(píng)，自主進(jìn)行保護(hù)即可。定2級(jí)以上就需要進(jìn)行等級(jí)測評(píng)。系統(tǒng)級(jí)別的確定需要根據(jù)系統(tǒng)的重要性進(jìn)行決定。如果定高了，有可能造成投資的浪費(fèi)；定低了則有可能造成重要信息系統(tǒng)得不到應(yīng)有的保護(hù)，應(yīng)該謹(jǐn)慎定級(jí)。

等保1.0的要求是自主定級(jí)，有主管部門的需要主管部門審核，最終報(bào)送公安機(jī)關(guān)進(jìn)行審核。等保2.0之后定級(jí)流程新增了“專家評(píng)審”和“主管部門審核”兩個(gè)環(huán)節(jié)，這樣定級(jí)過程將會(huì)變得更加規(guī)范，定級(jí)也會(huì)更加準(zhǔn)確。 

6、系統(tǒng)備案場所 

《信息安全等級(jí)保護(hù)管理辦法》規(guī)定，等級(jí)保護(hù)的主體單位為信息系統(tǒng)的運(yùn)營、使用單位。備案主體一般不會(huì)是開發(fā)商、系統(tǒng)集成商，而是最終的用戶方。