資訊安全等級保護工作十大誤區

資訊安全等級保護，是對資訊和資訊載體按照重要性等級分級别進行保護的一種工作，在中國、美國等很多國家都存在的一種資訊安全領域的工作。

在中國，資訊安全等級保護廣義上為涉及到該工作的标準、産品、系統、資訊等均依據等級保護思想的安全工作；狹義上一般指資訊系統安全等級保護。

資訊安全等級保護工作包括定級、備案、安全建設和整改、資訊安全等級測評、資訊安全檢查五個階段。

資訊系統安全等級測評是驗證資訊系統是否滿足相應安全保護等級的評估過程。資訊安全等級保護要求不同安全等級的資訊系統應具有不同的安全保護能力，一方面通過在安全技術和安全管理上選用與安全等級相适應的安全控制來實作；另一方面分布在資訊系統中的安全技術和安全管理上不同的安全控制，通過連接配接、互動、依賴、協調、協同等互相關聯關系，共同作用于資訊系統的安全功能，使資訊系統的整體安全功能與資訊系統的結構以及安全控制間、層面間和區域間的互相關聯關系密切相關。是以，資訊系統安全等級測評在安全控制測評的基礎上，還要包括系統整體測評。

以下是資訊安全等級保護工作十大誤區：

1、雲系統到哪裡進行系統定級備案？

背景：雲系統由于部署在各類雲平台上面，而雲平台的實際實體位址往往和雲系統網絡營運者不在同一位址，大型雲平台還有許多實體節點，很難确定雲平台的具體實體位址，那麼這種情況下雲系統到底到雲平台所在注冊位址進行系統備案，還是到自己所在注冊位址進行備案，如果自己的運維團隊和注冊經營位址不一緻怎麼辦？到底去哪裡備案？不少人以為是到注冊經營地進行備案。

答：雲系統應當在系統實際運維團隊所在地市網安部門進行系統備案，因為這樣友善屬地公安對系統進行監管。

擴充：在雲計算環境中，應将雲服務方側的雲計算平台單獨作為定級對象定級，雲租戶側的等級保護對象也應作為單獨的定級對象定級。

2、我的系統已經上雲或者系統托管到其他地方，系統就不歸我管了，就不用做等保了？

背景：系統上雲的情況越來越多，不論是公有雲（阿裡雲、騰訊雲、亞馬遜雲等）還是各類私有雲（政務雲、内部雲平台等）或者就是直接托管到IDC機房，一些客戶認為系統已經不在自己機房了，是以系統的相應安全運維就不歸自己管了，自然等保工作就不需要做了。

答：根據“誰營運誰負責，誰使用誰負責，誰主管誰負責”的原則，該系統責任主體還是屬于網絡營運者自己，是以還是得承擔相應的網絡安全責任，該進行系統定級的還是得定級，該做等保的還是得做等保。

擴充：系統上雲或托管後，并不是安全責任主體轉移，隻是系統所在機房位址的變更，當然在公有雲模式下，Iaas、Paas、Saas不同模式相應的安全責任會有些差別，但是并不是沒有責任。

3、系統定級越低越好？

背景：一些客戶擔心系統定級定高了後期給自己工作增加麻煩，一方面等級高了，技術要求高了，需要做的工作多了；另一方面三級系統需要每年都做測評，也覺得麻煩。是以想着系統定個二級就可以了，自己省事。

答：首先系統到底定幾級是根據受侵害的客體以及對客體侵害的程度來确定的，是以事實為根據，而不是拍腦袋決定的。系統等級定低了，乍一看可能工作上是容易做了，但是反而是我們沒有落實好網絡安全保護義務的直接表現，系統等級低了相應的安全防護要求也低了，那麼萬一你的系統不小心被破壞造成一定不良影響，在主管部門進行責任認定追查時，很有可能就會因為系統定級不合理，安全責任沒有履行到位而被處罰。得不償失，還是安安穩穩把自己該做的工作做好。

擴充：系統定級按照等保1.0的要求是自主定級，有主管部門的需要主管部門稽核，最終報送公安機關進行稽核。是以定級并不是想定幾級就定幾級的。預計今年會釋出的等保2.0裡定級流程新增了“專家評審”和“主管部門稽核”兩個環節，這樣定級過程将會變得更加規範，定級也會更加準确。

4、系統定完級就有人來管了

背景：一些客戶會覺得系統定了級以後相關主管機關就會不時地來安全檢查了，給自己的工作增加了麻煩，被人管的感覺很不好。

答：所有非涉密系統都屬于等級保護範疇，沒有定級不代表不需要被監管，相反如果沒有被納入監管，反而會比較危險，哪天出了事就比較難收拾殘局。定級後或者被監管，主管機關會在重點時刻對我們的重要資訊系統進行一定掃描及保護，會及時告知發現的一些問題，避免發生網絡安全事件；同時一些重要的政策要求或者行業會議，也會通知你們過來參會，友善大家及時了解最新的網絡安全形勢，有利于大家開展好網絡安全工作。

擴充：做了等保後，主管機關并不一定會對你們機關做相關安全檢查，機關很多，重要的系統很多，主管機關也有自己的一些統一安排，到底會不會對你們檢查取決于很多因素，但是一般機關可以不需要有這些顧慮。來檢查是好事，可以及時發現問題，督促指導大家開展好網絡安全工作。

5、等級保護工作就是做個測評就可以？

背景：一些人以為等級保護工作主要就是對系統進行定級備案，然後做個測評就可以了。

答：等級保護工作不僅是一個測評而是包含：定級、備案、測評、建設整改和監督審查五項内容，測評隻是其中一項。

擴充：測評隻是開始，更重要的是我們通過測評尋找出差距，分析出目前我們的系統存在的風險，及時查漏補缺，進行安全建設整改，提高資訊系統的安全防護能力，降低系統受到破壞的機率。

6、等保測評做過一次就可以了，以後随便做不做？

背景：一些客戶以為等保測評隻要做過一次就行了，以後就不用做了。把等保工作當成一個形式當成應付工程去做。

答：等保工作是一個持續的工作，等保測評也是一個周期性的工作，三級系統要求每年做一次，四級系統每半年做一次，二級系統部分行業明确要求每兩年做一次，沒有明确要求的行業建議大家兩年做一次測評。

擴充：做等保測評不應當抱着應付的心态去做，如果大家的系統真能按照等級保護的要求去做好，那麼你的系統安全防護水準還是很高的。做了等保，一方面是合規，更多的是切切實實協助我們做好機關的網絡安全工作。

7、不做等保沒關系，隻要不出事就行？

背景：一些使用者以為做不做等保不要緊，關揵的是不要出網絡安全事件，隻要不出事都沒問題。

答：《中華人民共和國網絡安全法》第二十一條 國家實行網絡安全等級保護制度。網絡營運者應當按照網絡安全等級保護制度的要求，履行下列安全保護義務，保障網絡免受幹擾、破壞或者未經授權的通路，防止網絡資料洩露或者被竊取、篡改：（五）法律、行政法規規定的其他義務。不做等保就屬于第五個行為，國内目前已經有公開報道的因沒有落實等級保護制度而被處罰的真實案例。是以等保及時去做，不要等。

擴充：網絡安全技術發展日新月異，什麼叫安全？買什麼産品做什麼服務就能安全？絕對的安全是不可能的，我們不能百分百保證我們的系統是安全的，但是我們得把我們能做的工作及時做到位，該做的工作做到了，自然也就相對安全了。

8、系統在内網，就不需要做等保了？

背景：不少使用者的系統都在機關内網或者專網中，覺得系統不對外相對安全，是以就可以不做等保了。

答：首先所有非涉密系統都屬于等級保護範疇，和系統在外網還是内網沒有關系；其次在内網的系統往往其網絡安全技術措施做的并不好，甚至不少系統已經中毒不淺。是以不論系統在内網還是外網都得及時開展等保工作。

擴充：内網不代表安全，而且現在純粹的實體内網很少了，大部分或多或少都與網際網路有些連接配接。内網一旦中毒，擴散很快，而且很難清除，因為很多技術措施都沒有，幾乎在裸奔狀态，一旦中毒很容易就跨了。

9、給我們機關整體做一個等保測評？

背景：一些使用者或者同行搞不清等保到底是個什麼情況，以為是按照整個機關去做，天真地認為一個機關做一個等保測評就可以。

答：等保測評是按照資訊系統來的，以一個資訊系統為測評整體，并不是按照一個機關去做的。

擴充：一個完整的資訊系統包括承載其的實體機房、伺服器、主機、應用、資料庫、網絡裝置及安全裝置等，測評除了這些具體的實體對象，還包括相對應的安全管理制度。

10、等保測評做完就得花很多錢去整改？

背景：一些客戶有疑慮：測評是沒有多少錢，但是測評後需要進行安全建設整改，需要花很多錢。