1、云系统到哪里进行系统分级备案?
背景:由于云系统部署在各种云平台上,云平台的实际物理地址往往与云系统网络运营商不在同一地址。大型云平台也有许多物理节点,因此很难确定云平台的具体物理地址。在这种情况下,云系统是将系统记录在云平台的注册地址上,还是将其记录在您的注册地址上?如果您的运维团队与注册业务地址不一致怎么办?在哪里备案?许多人认为这是在注册业务地点备案。
答:云系统应在系统实际运维团队所在的市网络安全部门进行系统备案,因为这样方便地方公安对系统进行监管。
扩展:在云计算环境中,云服务侧的云计算平台应单独作为分级对象,云租户侧的云计算平台应分级等级保护对象也应作为一个单独的等级对象。
2、我的系统已经上了云或者系统托管到其他地方,系统不会属于我的管,不需要做等保?
背景:系统上的云越来越多,无论是公有云(阿里云、腾讯云、亚马逊云等。)或各种私有云(政府云、内部云平台等。)或直接托管IDC在机房里,有些客户认为系统已经不在自己的机房里了,所以系统相应的安全操作和维护就不属于自己的管理了,自然不需要做保险工作。
答:根据谁负责操作,谁负责使用,谁负责的原则,系统的责任主体仍然属于网络运营商本身,因此他们仍然必须承担相应的网络安全责任。如果他们应该被系统分级,他们应该被分级,如果他们应该被平等保护,他们应该被平等保护。
扩展:系统上云或托管后,不是安全责任主体的转移,而是系统所在机房地址的变更。当然,在公共云模式下,Iaas、Paas、Saas不同的安全责任模式会有一些不同,但并非没有责任。
3、系统定级越低越好?
背景:一些客户担心,当系统级别设置得更高时,他们会给以后的工作带来麻烦。一方面,水平高,技术要求高,需要做更多的工作;另一方面,三级系统每年都需要评估,这也很麻烦。所以我认为系统可以设置一个二级,这样可以省去麻烦。
答:首先,系统确定的级别取决于被侵犯的对象和对象的程度。这是基于事实,而不是系统级别很低。乍一看,这可能很容易做,但这是我们未能履行网络安全保护义务的直接表现。系统级别较低,相应的安全保护要求也较低。如果您的系统意外受到攻击和损坏,并产生一定的不利影响,当主管部门确定和调查责任时,很可能会受到处罚,因为系统级别不合理,安全责任没有履行到位。得不偿失,或者安全地做好你应该做的事情。
扩展:系统分级按等保1进行.0的要求是独立分级。有主管部门的,由主管部门审查,最后报公安机关审查。因此,如果你想设定几个级别,就不要设定几个级别。预计今年将发布等保2.专家评审和主管部门审核两个环节在0里定级流程中增加,使定级流程更加规范,定级更加准确。
4.当系统设置级别时,有人会管理它
背景:有些客户会觉得系统设置好后,相关主管单位会不时来安全检查,给自己的工作增加了麻烦,被别人管理的感觉很不好。
答:所有非机密系统都属于等级保护类别,没有等级并不意味着不需要监督,相反,如果不包括在监督中,它将更危险,哪一天事故将更难清理剩余的情况。分级后或监督后,主管单位将在关键时刻扫描和保护我们的重要信息系统,及时通知一些问题,避免网络安全攻击;一些重要的政策要求或行业会议,也会通知您参加会议,方便您及时了解最新的网络安全情况,有利于您开展网络安全工作。
扩展:在等待保险后,主管单位不一定会对贵单位进行相关的安全检查。有许多单位和许多重要的系统。主管单位也有自己的统一安排。是否检查您取决于许多因素,但一般单位不需要这些担忧。检查是一件好事。我们可以及时发现问题,督促和指导大家做好网络安全工作。
5、等级保护工作就是做一个评估?
背景:有些人认为等级保护工作主要是对系统进行分级备案,然后进行评估。
答:等级保护工作不仅仅是一个评估,还包括五个内容:分级、备案、评估、施工整改和监督审查,评估只是其中之一。
扩展:评估只是一个开始。更重要的是,我们通过评估找出差距,分析当前系统的风险,及时检查和填补空白,进行安全施工整改,提高信息系统的安全保护能力,降低系统攻击和损坏的可能性。
6、等保险评估做一次就可以了,以后随便做不做?
背景:有些客户认为只要做一次保险评估,以后就不用做了。把等保工作作为一种形式,作为一个应付项目。
答:等待保险工作是一项持续的工作,等待保险评估也是一项周期性的工作。三级系统需要每年做一次,四级系统需要每六个月做一次。一些二级系统行业明确要求每两年做一次。对于没有明确要求的行业,建议您每两年进行一次评估。
扩展:不应该抱着应对的心态去做保险评估。如果每个人的系统都能真正遵循,[k如果你想做好,你的系统安全保护水平还是很高的。一方面是合规,更是帮助我们做好单位的网络安全工作。
7、不做等保没关系,只要不出事就行?
背景:有些用户认为做不做都没关系,关的是不要出网络安全事件,只要没有事故就没有问题。
答:《中华人民共和国网络安全法》第二十一条 国家实行网络安全等级保护系统。网络运营商应根据网络安全等级保护根据系统要求,履行以下安全保护义务,确保网络不受干扰、破坏或未经授权的访问,防止网络数据泄露或被盗或篡改:(5)法律、行政法规规定的其他义务。如果你不等待保险,这是第五种行为。由于尚未在中国实施,因此已有公开报道等级保护制度处罚的真实案例。所以等保及时去做,不要等。
扩展:网络安全技术的发展日新月异。什么是安全?你买什么产品,做什么服务?绝对安全是不可能的。我们不能100%确保我们的系统是安全的,但我们必须及时完成我们能做的工作。如果我们做了我们应该做的工作,我们自然会相对安全。
8、系统在内网,不需要做等保?
背景:很多用户的系统都在单位内网或专网中,认为系统不对外相对安全,所以不能做等保。
答:首先,所有非机密系统都属于等级保护类别与系统是外部网络还是内部网络无关;其次,内部网系统的网络安全技术措施往往不好,甚至许多系统中毒。因此,无论是内部网还是外部网络,都必须及时进行等效保护工作。
扩展:内部网络并不意味着安全,现在很少有纯粹的物理内部网络,其中大部分或多或少与互联网相连。一旦内部网络中毒,它就会迅速传播,很难清除,因为没有许多技术措施,几乎处于裸体状态,一旦中毒很容易交叉。
9、给我们单位整体做一个等保评估?
背景:有些用户或同行不知道保险是什么,以为是按照整个单位来做,天真地以为一个单位可以做一个等保险评估。
答:等保评估是根据信息系统进行的,以信息系统为整体进行评估,不是按一个单位进行的。
扩展:一个完整的信息系统包括携带其物理机房、服务器、主机、应用程序、数据库、网络设备和安全设备。除了这些特定的物理对象外,评估还包括相应的安全管理系统。
10、完成保险评估后要花很多钱去整改?
背景:有些客户有疑问:评估是没有多少钱,但是评估后需要进行安全施工整改,需要花很多钱。
答:整改费用取决于您的信息系统级别、系统现有的安全防护措施和网络运营商对评估分数的期望。你不必花很多钱,甚至不必花钱。
扩展:整改内容一般分为:完善的安全体系、安全加固等安全服务和安全设备的增加。在安全系统和安全加固方面,网络运营商可以做大量的整改工作或委托系统集成商进行加固。通常不需要额外付款,或者包含在您与系统集成商的合同中。这两个内容都得到了很好的纠正。此外,您有一定的安全技术措施,基本上可以达到基本一致的结论。所以你花多少钱取决于你做什么或你的期望。
如需等保测评服务,可后台私信联系。陆陆信息科技,整合云安全产品的技术优势,联合优质等保咨询、等保测评合作资源,提供等保项目的一站式服务,全面覆盖等保定级、备案、建设整改以及测评阶段,高效通过等保测评,落实网络安全等级保护工作。