安全資訊

1.為什么要做等保系統定級？

等保2.0在2019年12月1日開(kāi)始實(shí)施之后，政府機關(guān)、金融行業(yè)、電信行業(yè)、能源行業(yè)、企業(yè)單位、醫療行業(yè)、教育行業(yè)都被要求做信息系統定級?！毒W(wǎng)絡(luò )安全法》明確規定信息系統運營(yíng)、使用單位應當按照網(wǎng)絡(luò )安全等級保護制度要求，履行安全保護義務(wù)，如果拒不履行，將會(huì )受到相應處罰。

2. 等級測評工作流程

定級——備案——安全建設整改——等級測評——檢查，大概的就是這些流程。簡(jiǎn)單的來(lái)說(shuō)，做等保就和看病一樣。

如果一個(gè)人生病了，就得看醫生，通過(guò)CT或者核磁共振等設備進(jìn)行詳細檢查，針對檢查出的每一個(gè)問(wèn)題給出具體的治療建議，經(jīng)過(guò)治療強健身體降低再患病的風(fēng)險或者減小患病后對人體造成的損害。

如果一個(gè)信息系統有風(fēng)險，就得做等保，通過(guò)各類(lèi)設備工具比如漏掃設備等進(jìn)行全面詳細的檢查，針對檢查出的每一個(gè)風(fēng)險漏洞給出具體的整改建議，經(jīng)過(guò)整改提高信息系統的信息安全防護能力,降低系統被各種攻擊的風(fēng)險，保證重要的信息系統在有攻擊的情況下能夠很好地抵御攻擊或者被攻擊后能夠快速的恢復應用,不造成重大損失或影響。

3.要是不進(jìn)行等級保護的影響有多大？
如果符合以下三個(gè)特征，并且安全保護等級是二級及以上，還必須通過(guò)等級保護測評。

等級保護定級對象的三大基本特征：

①具有確定的主要安全責任主體；

②承載相對獨立的業(yè)務(wù)應用；

③包含相互關(guān)聯(lián)的多個(gè)資源。

也許有人會(huì )抱有僥幸心理，感覺(jué)不進(jìn)行等保也無(wú)所謂。非也非也，不進(jìn)行等保還會(huì )面臨處罰等嚴重后果。

舉個(gè)例子：

河南省安陽(yáng)市內黃縣教師培訓與教育究中心網(wǎng)站自上線(xiàn)運行以來(lái)，始終未進(jìn)行網(wǎng)絡(luò )安全等級保護的定級備案、等級測評等工作，導致網(wǎng)站存在高危漏洞，造成網(wǎng)站發(fā)生被黑客攻擊入事件。根據《網(wǎng)絡(luò )安全法》第二十一條和五十九條之規定，內鄉縣公安局網(wǎng)安大隊依法對河南省安陽(yáng)市內黃縣教師培訓與教育研究中心被處一萬(wàn)元罰款，法人代表許某某被處五千元罰款。

因此，我們除了要認識到等級保護的重要性，還要避免在日常開(kāi)展等級保護工作中一些誤區，只有正確認識等保，才能防患于未然↓↓

.1等級保護是否是強制性的，可以不做嗎？
答:《中華人民共和國網(wǎng)絡(luò )安全法》第二十一條規定網(wǎng)絡(luò )運營(yíng)者應當按照網(wǎng)絡(luò )安全等級保護制度的要求，履行相關(guān)的安全保護義務(wù)。同時(shí)第七十六條定義了網(wǎng)絡(luò )運營(yíng)者是指網(wǎng)絡(luò )的所有者、管理者和網(wǎng)絡(luò )服務(wù)提供者。

等級保護相關(guān)標準雖然為非強制性的推薦標準，但網(wǎng)絡(luò )（個(gè)人與家庭網(wǎng)絡(luò )除外）運營(yíng)者必須按網(wǎng)絡(luò )安全法開(kāi)展等級保護工作。

.2、“等?！迸c“分?！庇惺裁磪^別？
答:指等級保護與分級保護，主要不同在監管部門(mén)、適用對象、分類(lèi)等級等方面。

監管部門(mén)不一樣，等級保護由公安部門(mén)監管，分級保護由國家保密局監管。

適用對象不一樣，等級保護適用非涉密系統，分級保護適用于涉及國家密秘系統。

等級分類(lèi)不同，等級保護分5個(gè)級別：一級(自主保護)、二級(指導保護)、三級(監督保護)、四級(強制保護)、五級(專(zhuān)控保護)；分級保護分3個(gè)級別：秘密級、機密級、絕密級。

3、我的系統已經(jīng)上云或者系統托管到其他地方，系統就不歸我管了，就不用做等保了？
答:根據“誰(shuí)運營(yíng)誰(shuí)負責，誰(shuí)使用誰(shuí)負責，誰(shuí)主管誰(shuí)負責”的原則，該系統責任主體還是屬于網(wǎng)絡(luò )運營(yíng)者自己，所以還是得承擔相應的網(wǎng)絡(luò )安全責任，該進(jìn)行系統定級的還是得定級，該做等保的還是得做等保。

.4、等級保護工作就是做個(gè)測評就可以？
答:等級保護工作不僅是一個(gè)測評而是包含：定級、備案、測評、建設整改和監督審查五項內容，測評只是其中一項。

5、系統在內網(wǎng)，就不需要做等保了？
答:首先所有非涉密系統都屬于等級保護范疇，和系統在外網(wǎng)還是內網(wǎng)沒(méi)有關(guān)系；其次在內網(wǎng)的系統往往其網(wǎng)絡(luò )安全技術(shù)措施做的并不好，甚至不少系統已經(jīng)中毒不淺。所以不論系統在內網(wǎng)還是外網(wǎng)都得及時(shí)開(kāi)展等保工作。

6、不做等保沒(méi)關(guān)系，只要不出事就行？
答:《中華人民共和國網(wǎng)絡(luò )安全法》第二十一條 國家實(shí)行網(wǎng)絡(luò )安全等級保護制度。網(wǎng)絡(luò )運營(yíng)者應當按照網(wǎng)絡(luò )安全等級保護制度的要求，履行下列安全保護義務(wù)，保障網(wǎng)絡(luò )免受干擾、破壞或者未經(jīng)授權的訪(fǎng)問(wèn)，防止網(wǎng)絡(luò )數據泄露或者被竊取、篡改：（五）法律、行政法規規定的其他義務(wù)。不做等保就屬于第五個(gè)行為，國內目前已經(jīng)有公開(kāi)報道的因沒(méi)有落實(shí)等級保護制度而被處罰的真實(shí)案例。所以等保及時(shí)去做，不要等。

7、等保測評做過(guò)一次就可以了，以后隨便做不做？
答:等保工作是一個(gè)持續的工作，等保測評也是一個(gè)周期性的工作，三級系統要求每年做一次，四級系統每半年做一次，二級系統部分行業(yè)明確要求每?jì)赡曜鲆淮?，沒(méi)有明確要求的行業(yè)建議大家兩年做一次測評。

8、是否系統定級越低越好？
答:不是?？筛鶕?shí)際業(yè)務(wù)系統的情況參照定級標準進(jìn)行定級，采用“定級過(guò)低不允許、定級過(guò)高不可取”的原則。當出現網(wǎng)絡(luò )安全事件進(jìn)行追責的時(shí)候，如因系統定級過(guò)低，需承擔系統定級不合理、安全責任沒(méi)有履行到位的風(fēng)險。

(注意：等級保護最后需要由等級保護測評機構出具“等級保護測評報告”)