欢迎来到品至官方网站!
咨 询 热 线 (免 长 途 费) 400-996-0062
首页>行业动态
品级庇护十大常见误区 2019-03-01
固然信息安全品级庇护并不一定能防备网络进犯,但作为一项合规事情,许多机构却不得不展开,这在一定程度上能够提拔防护才能,而且能够躲避一些风险义务。 

上面我们看一下品级庇护常见的十大误区。
1、云体系到哪里停止体系定级存案?
布景:云体系因为布置在各种云平台上面,而云平台的实践物理地址常常和云体系网络运营者不在统一地址,大型云平台还有很多物理节点,很难肯定云平台的详细物理地址,那么这种情况下云体系到底到云平台地点注册地址停止体系存案,仍是到本人地点注册地址停止存案,假如本人的运维团队和注册运营地址不一致怎么办?到底去哪里存案?很多人觉得是到注册运营地停止存案。
答:云体系该当在体系实践运维团队地点地市网安部分停止体系存案,由于如许便利属地公安对体系停止羁系。
扩大:在云计较情况中,应将云服务方侧的云计较平台零丁作为定级工具定级,云租户侧的品级庇护工具也应作为零丁的定级工具定级。
 
2、我的体系曾经上云大概体系托管到其他地方,体系就不归我管了,就不用做等保了?
布景:体系上云的状况愈来愈多,不论是私有云(阿里云、腾讯云、亚马逊云等)仍是各种私有云(政务云、内部云平台等)大概就是间接托管到IDC机房,一些客户以为体系曾经不在本人机房了,以是体系的响应安全运维就不归本人管了,天然等保事情就不需要做了。
答:按照“谁运营谁卖力,谁利用谁卖力,谁主管谁卖力”的原则,该体系义务主体仍是属于网络运营者本人,以是仍是得负担响应的网络安全义务,该停止体系定级的仍是得定级,该做等保的仍是得做等保。
扩大:体系上云或托管后,其实不是安全义务主体转移,只是体系地点机房地址的变动,固然在私有云模式下,Iaas、Paas、Saas差别模式响应的安全义务会有些区分,可是其实不是没有义务。
 
3、体系定级越低越好?
布景:一些客户担忧体系定级定高了前期给本人事情增长麻烦,一方面品级高了,手艺要求高了,需求做的事情多了;另一方面三级体系需求每一年都做测评,也以为麻烦。以是想着体系定个二级就能够了,本人费事。
答:起首体系到底定几级是按照受损害的客体以及对客体损害的水平来肯定的,是以究竟为按照,而不是拍脑壳决议的。体系品级定低了,乍一看能够事情上是简单做了,可是反而是我们没有落实好网络安全庇护任务的间接表示,体系品级低了响应的安全防护要求也低了,那么万一你的体系不当心被进犯毁坏形成必然不良影响,在主管部门停止义务认定清查时,很有可能就会由于体系定级不合理,安全义务没有实行到位而被惩罚。得失相当,仍是安安稳稳把本人该做的事情做好。
扩大:体系定级根据等保1.0的要求是自立定级,有主管部门的需求主管部门考核,终极报送公安机关停止考核。以是定级其实不是想定几级就定几级的。估计本年会公布的等保2.0里定级流程新增了“专家评审”和“主管部门考核”两个环节,如许定级历程将会变得愈加标准,定级也会愈加精确。
 
4、体系定完级就有人来管了
布景:一些客户会以为体系定了级当前相干主管单元就会不时地来安全检查了,给本人的事情增长了麻烦,被人管的觉得很不好。
答:所有非涉密体系都属于品级庇护范围,没有定级不代表不需要被羁系,相反假如没有被归入羁系,反而会比力伤害,哪天出了事就比力难拾掇残局。定级后大概被羁系,主管单元会在重点时辰对我们的主要信息系统停止必然扫描及庇护,会实时见告发明的一些成绩,制止发作网络安全进犯变乱;同时一些主要的政策要求大概行业集会,也会告诉你们过来参会,便利各人实时理解最新的网络安全形势,有利于各人展开好网络安全事情。
扩大:做了等保后,主管单元其实不一定会对你们单元做相干安全检查,单元许多,主要的体系许多,主管单元也有本人的一些统一安排,到底会不会对你们查抄取决于许多身分,可是普通单元能够不需要有这些顾忌。来查抄是功德,能够实时发明成绩,催促指点各人展开好网络安全事情。
 
金沙js80806com
布景:一些人觉得品级庇护事情次要就是对体系停止定级存案,然后做个测评就能够了。
答:品级庇护事情不仅是一个测评而是包罗:定级、存案、测评、建立整改和监视检查五项内容,测评只是此中一项。
扩大:测评只是开端,更主要的是我们经由过程测评寻觅出差异,分析出今朝我们的体系存在的风险,实时查漏补缺,停止安全建立整改,提高信息系统的安全防护才能,低落体系遭到进犯毁坏的概率。
 
6、等保测评做过一次就能够了,当前随意做不做?
布景:一些客户觉得等保测评只要做过一次就行了,当前就不用做了。把等保事情当做一个情势当做对付工程去做。
答:等保事情是一个连续的事情,等保测评也是一个周期性的事情,三级体系要求每一年做一次,四级体系每半年做一次,二级体系部门行业明白要求每两年做一次,没有明白要求的行业倡议各人两年做一次测评。
扩大:做等保测评不该当抱着对付的心态去做,假如各人的体系真能根据品级庇护的要求去做好,那么你的系统安全防护程度仍是很高的。做了等保,一方面是合规,更多的是切切实实辅佐我们做好单元的网络安全事情。

7、不做等保不妨,只要不失事就行?
布景:一些用户觉得做不做等保没关系,关揵的是不要出网络安全变乱,只要不失事都没问题。
答:《中华人民共和国网络安全法》第二十一条 国度实施网络安全品级庇护轨制。网络运营者该当根据网络安全品级庇护轨制的要求,实行以下安全庇护任务,保障网络免受滋扰、毁坏大概未经授权的会见,避免网络数据保守大概被夺取、窜改:(五)法令、行政法规划定的其他任务。不做等保就属于第五个举动,海内今朝曾经有公然报导的因没有落实品级庇护轨制而被惩罚的实在实例。以是等保实时去做,不要等。
扩大:网络安全技术发展一日千里,什么叫安全?买什么产物做什么服务就能安全?绝对的安全是不可能的,我们不能百分百包管我们的体系是安全的,可是我们得把我们能做的事情实时做到位,该做的事情做到了,天然也就相对安全了。
 
8、体系在内网,就不需要做等保了?
布景:很多用户的体系都在单元内网大概专网中,以为体系不对外相对安全,以是就能够不做等保了。
答:起首所有非涉密体系都属于品级庇护范围,和体系在外网仍是内网没有干系;其次在内网的体系常常其网络安全技术措施做的其实不好,以至很多体系曾经中毒不浅。以是不管体系在内网仍是外网都得实时展开等保事情。
扩大:内网不代表安全,并且如今地道的物理内网很少了,大部分或多或少都与互联网有些毗连。内网一旦中毒,分散很快,并且很难肃清,由于许多技术措施都没有,险些在裸奔形态,一旦中毒很容易就跨了。
 
金沙js80806com
布景:一些用户大概偕行搞不清等保到底是个什么状况,觉得是根据全部单元去做,灵活地以为一个单元做一个等保测评就能够。
答:等保测评是根据信息系统来的,以一个信息系统为测评团体,其实不是根据一个单元去做的。
扩大:一个完好的信息系统包罗承载其的物理机房、服务器、主机、使用、数据库、网络设备及安全设备等,测评除了这些详细的实体工具,还包罗相对应的安全管理制度。
 
10、等保测评做完就得花许多钱去整改?
布景:一些客户有疑虑:测评是没有多少钱,可是测评后需求停止安全建立整改,需求花许多钱。
答:整改花多少钱取决于你的信息系统品级、体系现有的安全防护步伐情况以及网络运营者对测评分数的期望值,不一定要花许多钱以至不费钱。
扩大:整改的内容大致分为:安全轨制完美、安全加固等安全服务以及安全设备的添置。在安全轨制及安全加固上网络运营者本人能够做许多整改事情大概拜托系统集成方停止加固,常常这是不需要分外付费的大概是包罗在你和系统集成方条约商定中的,这两块内容整改好,加上你有必然的安全技术步伐,基本上是能够到达根本契合的结论的。以是花多少钱看你怎么去做大概你的期望值是多少。
致力于为天下中小企业供给专业解决方案
天分打点|政策解读

IDC,ISP,ICP,EDI,文网文,云计较,宽带接入,Q板,科创板尽在品至

总部地址:上海浦东新区陆家嘴桃林路777号鄂尔多斯艾力大厦15F

上海(江浙沪) 北京(京津冀东北) 广州(粤桂) 武汉 重庆 济南(山东河南河北)

Copyright © 2016 上海品至实业有限公司 沪ICP备14022360号

990.am金沙js80806com澳门国际金沙9321金沙js80806com
澳门金沙网址