摘要:等保測評是指我們進行信息安全等級保護測評����,意思就是對我們的信息以及信息的載體按照重要性對其進行保護的評測�。等級評測是評測機構(gòu)按照國家信息安全等級保護制度規(guī)定進行的一項測試����,等保測評是一項周期性�����、連續(xù)性的工作��,不同等級要求0.5-2年做一次���。下面一起來了解一下等保測評的相關(guān)內(nèi)容吧�。
一��、等保測評是什么意思
等保測評是經(jīng)公安部認證的具有資質(zhì)的測評機構(gòu)�,依據(jù)國家信息安全等級保護規(guī)范規(guī)定,受有關(guān)單位委托���,按照有關(guān)管理規(guī)范和技術(shù)標準�,對信息系統(tǒng)安全等級保護狀況進行檢測評估的活動�。全稱是信息安全等級保護測評。
二��、等保測評基本內(nèi)容
對信息系統(tǒng)安全等級保護狀況進行測試評估����,應(yīng)包括兩個方面的內(nèi)容。
1��、安全控制測評:主要測評信息安全等級保護要求的基本安全控制在信息系統(tǒng)中的實施配置情況�。
2�����、系統(tǒng)整體測評:主要測評分析信息系統(tǒng)的整體安全性。
其中�����,安全控制測評是信息系統(tǒng)整體安全測評的基礎(chǔ)��。對安全控制測評的描述��,使用測評單元方式組織�����。測評單元分為安全技術(shù)測評和安全管理測評兩大類�。
①安全技術(shù)測評:包括物理安全、網(wǎng)絡(luò)安全���、主機系統(tǒng)安全��、應(yīng)用安全和數(shù)據(jù)安全等五個層面上的安全控制測評��。
②安全管理測評:包括安全管理機構(gòu)�、安全管理制度�����、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運維管理等五個方面的安全控制測評��。
三���、等保測評規(guī)定幾年做一次
1��、等保測評是一項周期性�、連續(xù)性的工作���,不同等級要求0.5-2年做一次��。
概述:許多企事業(yè)單位認為等級保護是一項正式的工作���,抱著應(yīng)對的態(tài)度,覺得做完這個就拉倒�����。
正確做法:需要持續(xù)進行等級保護�,尤其是等保測評。不同級別的系統(tǒng)會有不同的評價周期要求:4級00.5年一次��,3年一次���,2年一次�����,2年一次(有行業(yè)差異���,但都明確或建議2年一次)。
擴展知識:等級保護評估是對系統(tǒng)保護水平的測試����,不應(yīng)處理。如果企業(yè)事業(yè)單位的制度按照等保險要求認真做好��,同時也能有效地做好網(wǎng)絡(luò)安全工作����。
2、如果你不做等級保護�����,你可能會面臨懲罰
概述:很多企事業(yè)單位認為�����,只要不涉及網(wǎng)絡(luò)安全、網(wǎng)絡(luò)攻擊事件��,就可以不做等級保護�,沒有事故。
正確做法:《中華人民共和國網(wǎng)絡(luò)安全法》第二十一條已作出相關(guān)規(guī)定(具體內(nèi)容不再重復(fù))�����。如果系統(tǒng)運營商未能進行等級保護����,則屬于違反其他義務(wù)的行為,可能會受到處罰��。以前也有類似的報告����,所以及時進行等級保護。不要等到受到懲罰�����。
拓展知識:安全總是相對的�,但要及時做好。嚴格執(zhí)行政策法規(guī)的要求��,也是保護企事業(yè)單位安全的一項措施。
3�、即使系統(tǒng)在內(nèi)網(wǎng),也需要及時進行等級保護
概述:很多企事業(yè)單位將系統(tǒng)存在于單位內(nèi)網(wǎng)或?qū)>W(wǎng)中�����,認為不對外=安全�,這樣就不能進行等級保護工作��。
正確的方法:只要不是機密系統(tǒng)����,就需要等級保護,這與網(wǎng)絡(luò)無關(guān)��。此外�����,內(nèi)部網(wǎng)絡(luò)的保護措施可能比外部網(wǎng)絡(luò)弱����,但容易中毒和攻擊。因此����,即使是內(nèi)部網(wǎng)絡(luò)系統(tǒng)也應(yīng)及時進行等級保護�����!
擴展知識:內(nèi)部網(wǎng)絡(luò)并不意味著安全�,現(xiàn)在很少有純粹的物理內(nèi)部網(wǎng)絡(luò)���,其中大部分或多或少與互聯(lián)網(wǎng)相連��。一旦內(nèi)部網(wǎng)絡(luò)中毒��,它會迅速傳播���,很難清除,因為沒有許多技術(shù)措施�,幾乎處于裸奔狀態(tài)。一旦中毒��,它很容易交叉����。
4、等保測評以系統(tǒng)為單位,不能針對單位整體進行
概述:在現(xiàn)實中����,許多企業(yè)事業(yè)單位不了解等級保護的意義。他們錯誤地認為這是為單位開展的業(yè)務(wù)���,并覺得對自己的單位進行等級保護評估已經(jīng)完成�����。
正確做法:等保測評如果以系統(tǒng)為單位,需要做多少次信息系統(tǒng)等保測評��。
拓展知識:信息系統(tǒng)通常由服務(wù)器�����、主機����、數(shù)據(jù)庫、設(shè)備等多種物體組成���,等保測評除實物測量外��,還需要測量相關(guān)的安全管理制度�。
5、等保測評整改后的費用由系統(tǒng)的等級����、措施等決定,不一定很高
概況:總有企事業(yè)單位擔心等保測評安全建設(shè)整改需要花費大量資金�����。
正確的做法:等待整改需要花多少錢�����,與信息系統(tǒng)的水平�����、現(xiàn)有的安全保護措施和網(wǎng)絡(luò)運營商對評估分數(shù)的期望有關(guān)�,不一定很高,可能不會花錢����!
四、等保測評項目中遇到的六大誤區(qū)
誤區(qū)一:系統(tǒng)已上云或托管�����,就不用做等保
系統(tǒng)責任主體是屬于網(wǎng)絡(luò)運營者自己,需要承擔相應(yīng)的網(wǎng)絡(luò)安全責任�。
誤區(qū)二:系統(tǒng)定級越低越好
系統(tǒng)定級需要合理,安全責任沒有履行到位會被處罰�����。
誤區(qū)三:等保工作做測評就可以
測評只是等級保護工作中的一項����。
誤區(qū)四:等保測評做過一次就可以了
等保工作需要根據(jù)具體的行業(yè)規(guī)定需求安排合理的評測時間。
誤區(qū)五:系統(tǒng)在內(nèi)網(wǎng)���,不需要做等保
所有非涉密系統(tǒng)都屬于等級保護范疇。
誤區(qū)六:單位整體做一個等保測評
等保測評是按照信息系統(tǒng)來的���,而不是單位�。
蘇寧
攜程
微博
愛奇藝
騰訊視頻
QQ音樂
當當
阿里健康大藥房
天貓
