等保有哪些注意事项
最近更新时间:2022-01-13 08:59:34
网络安全等级保护是指根据信息系统在国家安全、社会稳定、经济秩序和公共利益方便中的重要程度以及风险威胁、安全需求、安全成本等因素,将其划分不同的安全保护等级并采取相应等级的安全保护技术、管理措施、以保障信息系统安全和信息安全。
1.等级测评并非网络安全认证
等级保护测评没有相应的证书。目前主要由公安部授权委托的测评机构,对信息系统进行安全测评并出具《等级保护测评报告》。
2.等保制度只是基本要求
企业通过落实等保安全要求,并严格执行各项安全管理的规章制度,基本能做到系统的安全稳定运行。但依然不能百分百保证系统的安全性。安全是一个动态而非静止的过程,不是通过一次测评,就可以一劳永逸的。
3.内网系统也需要做等级测评
《网络安全法》规定,等级保护的对象是在中华人民共和国境内建设、运营、维护和使用的网络与信息系统。因此,不管是内网还是外网系统,都需要符合等级保护安全的要求。
4.系统上云或者托管在其他地方也需做等级测评
根据“谁运营谁负责,谁使用谁负责,谁主管谁负责”的原则,系统责任主体仍然还是属于网络运营者自己。因此,企业还是得承担相应的网络安全责任,该进行系统定级的还是得定级,该做等保的还是得做等保。
5.不可根据自己的主观意愿来定级
等保1.0的要求是自主定级,有主管部门的需要主管部门审核,最终报送公安机关进行审核。
等保2.0之后定级流程新增了“专家评审”和“主管部门审核”两个环节,定级过程将会变得更加规范、准确。
6.系统备案场所
《信息安全等级保护管理办法》规定,等级保护的主体单位为信息系统的运营、使用单位。备案主体一般不会是开发商、系统集成商,而是最终的用户方。