2019年5月13日下午,國家標準新聞發布會上,網絡安全等級保護制度2.0標準(以下簡稱“等保2.0”)正式發布,實施時間為2019年12月1日。
等級保護測評是經公安部認證的具有資質的測評機構,依據國家信息安全等級保護規范規定,受有關單位委托,按照有關管理規范和技術標準,對信息系統安全等級保護狀況進行檢測評估的活動。
通過等級保護測評,在滿足國家相關法律法規和制度的基本要求和相關主管單位和行業要求上,降低信息安全風險,提高信息系統的安全防護能力,合理地規避或降低風險。
等保2.0標準中,網絡安全等級保護監管的對象得到很大擴充,從企業基礎的業務系統,拓展到工業控制系統、云計算平臺,安全保護的內容也擴大,供應鏈安全、通報預警等也被納入其中。這將進一步加強整體的安全防護。
但是,仍然有一些客戶對信息安全等級保護的工作存在著疑問和誤解:
Question1:等級保護就只是做個測評就可以了?
答:等級保護工作不僅是一個測評,可以說測評只是等保工作的開始。
等保備案和等保測評僅僅是監督這項工作的落實的法定程序。等級保護工作不僅是一個測評而是包含:定級、備案、測評、建設整改和監督審查五項內容,測評只是開始,更重要的是通過測評尋找出差距,分析出目前系統存在的風險,及時查漏補缺,進行安全建設整改,提高信息系統的安全防護能力,降低系統受到攻擊破壞的概率。
Question2:已經做過等保測評了,系統就沒有安全問題了吧?
答:目前,想僅僅通過等保測評來保證系統的絕對安全,其實是不可能的。
通過測評、整改,落實等級保護制度,確實能規避了大部分的安全風險。不過就目前的測評結果來看,幾乎沒有任何一個被測系統能全部滿足等保要求。目前,級保護測評一般情況下只要不存在高危安全風險,都可以通過測評。且安全是一個動態調整、跟進的過程,而不是通過一次測評,就可以一勞永逸。
Question3:我運營的是內網系統,需不需要做等級測評?:
答:需要。不論系統在內網還是外網都得及時開展等保工作。
實際上,所有非涉密系統都屬于等級保護范疇,和系統在外網還是內網沒有關系。而且,在內網的系統往往其網絡安全技術措施做的并不好,甚至不少系統已經中毒不淺。內網一旦中毒,擴散很快,而且很難清除,因為很多技術措施都沒有,幾乎在裸奔狀態,一旦中毒很容易就跨了。
Question4:等級保護測評結論不符合是不是等級保護工作就白做了?
答:等級保護測評結論不符合表示目前該信息系統存在高危風險或整體安全性較差,不符合等保的相應標準要求,但是這并不代表等級保護工作白做了。
即使你拿著不符合的測評報告,主管單位也是承認你們單位今年的等級保護工作已經開展過了,只是目前的問題較多,沒達到相應的標準。
如今, 網絡安全技術發展日新月異,網絡安全等級保護制度走向一個新的高度,國家網絡安全工作步入一個新時代。等保測評是一個基線的要求,了了網將在時代的要求下,不斷提升等級測評服務產品的升級,力求提升客戶的滿意度,為網絡安全技術發展貢獻一份綿薄之力。
版權所有(C)廣東燎了網絡科技有限公司 保留所有權利 粵ICP備19065381號 
粵公網安備 44049102496474號
