安全資訊

根據《中華人民共和國網(wǎng)絡(luò )安全法》第二十一條規定，國家實(shí)行網(wǎng)絡(luò )安全等級保護制度。網(wǎng)絡(luò )運營(yíng)者應當按照網(wǎng)絡(luò )安全等級保護制度的要求，履行下列安全保護義務(wù)，保障網(wǎng)絡(luò )免受干擾、破壞或者未經(jīng)授權的訪(fǎng)問(wèn)，防止網(wǎng)絡(luò )數據泄露或者被竊取、篡改。

因此，不做等保就屬于不履行相關(guān)的法律義務(wù)。國內目前已經(jīng)有公開(kāi)報道的因沒(méi)有落實(shí)等級保護制度而被處罰的真實(shí)案例，所以等保工作需要被重視起來(lái)，及時(shí)開(kāi)展。

根據“誰(shuí)運營(yíng)誰(shuí)負責，誰(shuí)使用誰(shuí)負責，誰(shuí)主管誰(shuí)負責”的原則，該系統責任主體還是屬于網(wǎng)絡(luò )運營(yíng)者自己，所以還是得承擔相應的網(wǎng)絡(luò )安全責任，該進(jìn)行系統定級的還是得定級，該做等保的還是得做等保。

系統上云或托管后，并不是安全責任主體轉移，只是系統所在機房地址的變更，當然在公有云模式下，Iaas、Paas、Saas不同模式相應的安全責任會(huì )有些區別，但是并不是沒(méi)有責任。

系統的最終定級是根據受侵害的客體以及對客體侵害的程度來(lái)確定的，以事實(shí)為根據，而不是主觀(guān)隨意定級。定級低了，表面上要求更容易滿(mǎn)足，但相應的防護措施也相對不足，一旦遭受攻擊，反而得不償失。

等保工作是一個(gè)持續的工作，等保測評也是一個(gè)周期性的工作，三級系統要求每年做一次，四級系統每半年做一次，二級系統部分行業(yè)明確要求每?jì)赡曜鲆淮?，沒(méi)有明確要求的行業(yè)一般是建議兩年做一次測評。

云系統由于部署在各類(lèi)云平臺上面，而云平臺的實(shí)際物理地址往往和云系統網(wǎng)絡(luò )運營(yíng)者不在同一地址，大型云平臺還有許多物理節點(diǎn)，很難確定云平臺的具體物理地址，因此從方便屬地公安機關(guān)監管的角度出發(fā)，應該在系統實(shí)際運維團隊所在地市網(wǎng)安部門(mén)進(jìn)行系統備案。