登陆  |  注册  |  设为首页  |  加入收藏     
 
 
 


云系统到哪里进行系统定级备案?
云系统应当在系统实际运维团队所在地市网安部门进行系统备案,因为这样方便属地公安对系统进行监管。 扩展:在云计算环境中,应将云服务方侧的云计算平台单独作为定级对象定级,云租户侧的等级保护对象也应作为单独的定级对象定级。 
我的系统已经上云或者系统托管到其他地方,系统就不归我管了,就不用做等保了?
根据“谁运营谁负责,谁使用谁负责,谁主管谁负责”的原则,该系统责任主体还是属于网络运营者自己,所以还是得承担相应的网络安全责任,该进行系统定级的还是得定级,该做等保的还是得做等保。 扩展:系统上云或托管后,并不是安全责任主体转移,只是系统所在机房地址的变更,当然在公有云模式下,Iaas、Paas、Saas不同模式相应的安全责任会有些区别,但是并不是没有责任。 
系统定级越低越好?
首先系统到底定几级是根据受侵害的客体以及对客体侵害的程度来确定的,是以事实为根据,而不是拍脑袋决定的。系统等级定低了,乍一看可能工作上是容易做了,但是反而是我们没有落实好网络安全保护义务的直接表现,系统等级低了相应的安全防护要求也低了,那么万一你的系统不小心被攻击破坏造成一定不良影响,在主管部门进行责任认定追查时,很有可能就会因为系统定级不合理,安全责任没有履行到位而被处罚。得不偿失,还是安安稳稳把自己该做的工作做好。 扩展:系统定级按照等保1.0的要求是自主定级,有主管部门的需要主管部门审核,最终报送公安机关进行审核。所以定级并不是想定几级就定几级的。预计今年会发布的等保2.0里定级流程新增了“专家评审”和“主管部门审核”两个环节,这样定级过程将会变得更加规范,定级也会更加准确。 
系统定完级就有人来管了
所有非涉密系统都属于等级保护范畴,没有定级不代表不需要被监管,相反如果没有被纳入监管,反而会比较危险,哪天出了事就比较难收拾残局。定级后或者被监管,主管单位会在重点时刻对我们的重要信息系统进行一定扫描及保护,会及时告知发现的一些问题,避免发生网络安全攻击事件;同时一些重要的政策要求或者行业会议,也会通知你们过来参会,方便大家及时了解最新的网络安全形势,有利于大家开展好网络安全工作。 扩展:做了等保后,主管单位并不一定会对你们单位做相关安全检查,单位很多,重要的系统很多,主管单位也有自己的一些统一安排,到底会不会对你们检查取决于很多因素,但是一般单位可以不需要有这些顾虑。来检查是好事,可以及时发现问题,督促指导大家开展好网络安全工作。 
等级保护工作就是做个测评就可以?
等级保护工作不仅是一个测评而是包含:定级、备案、测评、建设整改和监督审查五项内容,测评只是其中一项。 扩展:测评只是开始,更重要的是我们通过测评寻找出差距,分析出目前我们的系统存在的风险,及时查漏补缺,进行安全建设整改,提高信息系统的安全防护能力,降低系统受到攻击破坏的概率。 
等保测评做过一次就可以了,以后随便做不做?
等保工作是一个持续的工作,等保测评也是一个周期性的工作,三级系统要求每年做一次,四级系统每半年做一次,二级系统部分行业明确要求每两年做一次,没有明确要求的行业建议大家两年做一次测评。 扩展:做等保测评不应当抱着应付的心态去做,如果大家的系统真能按照等级保护的要求去做好,那么你的系统安全防护水平还是很高的。做了等保,一方面是合规,更多的是切切实实协助我们做好单位的网络安全工作。 
不做等保没关系,只要不出事就行?
《中华人民共和国网络安全法》第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:(五)法律、行政法规规定的其他义务。不做等保就属于第五个行为,国内目前已经有公开报道的因没有落实等级保护制度而被处罚的真实案例。所以等保及时去做,不要等。 扩展:网络安全技术发展日新月异,什么叫安全?买什么产品做什么服务就能安全?绝对的安全是不可能的,我们不能百分百保证我们的系统是安全的,但是我们得把我们能做的工作及时做到位,该做的工作做到了,自然也就相对安全了。 
系统在内网,就不需要做等保了?
首先所有非涉密系统都属于等级保护范畴,和系统在外网还是内网没有关系;其次在内网的系统往往其网络安全技术措施做的并不好,甚至不少系统已经中毒不浅。所以不论系统在内网还是外网都得及时开展等保工作。 扩展:内网不代表安全,而且现在纯粹的物理内网很少了,大部分或多或少都与互联网有些连接。内网一旦中毒,扩散很快,而且很难清除,因为很多技术措施都没有,几乎在裸奔状态,一旦中毒很容易就跨了。 
给我们单位整体做一个等保测评?
等保测评是按照信息系统来的,以一个信息系统为测评整体,并不是按照一个单位去做的。 扩展:一个完整的信息系统包括承载其的物理机房、服务器、主机、应用、数据库、网络设备及安全设备等,测评除了这些具体的实体对象,还包括相对应的安全管理制度。 
等保测评做完就得花很多钱去整改?
整改花多少钱取决于你的信息系统等级、系统现有的安全防护措施状况以及网络运营者对测评分数的期望值,不一定要花很多钱甚至不花钱。 扩展:整改的内容大体分为:安全制度完善、安全加固等安全服务以及安全设备的添置。在安全制度及安全加固上网络运营者自己可以做很多整改工作或者委托系统集成方进行加固,往往这是不需要额外付费的或者是包含在你和系统集成方合同约定中的,这两块内容整改好,加上你有一定的安全技术措施,基本上是可以达到基本符合的结论的。所以花多少钱看你怎么去做或者你的期望值是多少。 
第1页 总3页   1 2 3 下一翻页

Copyright 2019 - 2020 信息安全等级保护测评中心 苏ICP备05065324号-5
版权所有:扬州大自然网络信息有限公司 地址:四望亭路46号502室 电话:0514-87327970