【重點(diǎn)】:等保測(cè)評(píng)幾年做一次����,根據(jù)規(guī)定��,第三級(jí)信息系統(tǒng)應(yīng)當(dāng)每年至少進(jìn)行一次等級(jí)測(cè)評(píng)���,第四級(jí)信息系統(tǒng)應(yīng)當(dāng)每半年至少進(jìn)行一次等級(jí)測(cè)評(píng)����,第五級(jí)信息系統(tǒng)應(yīng)當(dāng)依據(jù)特殊安全需求進(jìn)行等級(jí)測(cè)評(píng)�。
1.等保測(cè)評(píng)是一項(xiàng)周期性、連續(xù)性的工作���,不同等級(jí)要求0.5-2年做一次����。
概述:許多企事業(yè)單位認(rèn)為等級(jí)保護(hù)是一項(xiàng)正式的工作����,抱著應(yīng)對(duì)的態(tài)度,覺得做完這個(gè)就拉倒���。
正確做法:需要持續(xù)進(jìn)行等級(jí)保護(hù)�,尤其是等保測(cè)評(píng)����。不同級(jí)別的系統(tǒng)會(huì)有不同的評(píng)價(jià)周期要求:4級(jí)00.5年一次,3年一次�,2年一次,2年一次(有行業(yè)差異�����,但都明確或建議2年一次)
擴(kuò)展知識(shí):等級(jí)保護(hù)評(píng)估是對(duì)系統(tǒng)保護(hù)水平的測(cè)試�����,不應(yīng)處理����。如果企業(yè)事業(yè)單位的制度按照等保險(xiǎn)要求認(rèn)真做好���,同時(shí)也能有效地做好網(wǎng)絡(luò)安全工作。
2.如果你不做等級(jí)保護(hù)���,你可能會(huì)面臨懲罰
概述:很多企事業(yè)單位認(rèn)為�����,只要不涉及網(wǎng)絡(luò)安全�、網(wǎng)絡(luò)攻擊事件��,就可以不做等級(jí)保護(hù)�����,沒有事故�����。
正確做法:《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第二十一條已作出相關(guān)規(guī)定(具體內(nèi)容不再重復(fù))�����。如果系統(tǒng)運(yùn)營(yíng)商未能進(jìn)行等級(jí)保護(hù),則屬于違反其他義務(wù)的行為��,可能會(huì)受到處罰�����。以前也有類似的報(bào)告��,所以及時(shí)進(jìn)行等級(jí)保護(hù)����。不要等到受到懲罰����。
拓展知識(shí):安全總是相對(duì)的,但要及時(shí)做好�。嚴(yán)格執(zhí)行政策法規(guī)的要求,也是保護(hù)企事業(yè)單位安全的一項(xiàng)措施��。
3.即使系統(tǒng)在內(nèi)網(wǎng)�����,也需要及時(shí)進(jìn)行等級(jí)保護(hù)
概述:很多企事業(yè)單位將系統(tǒng)存在于單位內(nèi)網(wǎng)或?qū)>W(wǎng)中����,認(rèn)為不對(duì)外=安全�,這樣就不能進(jìn)行等級(jí)保護(hù)工作�。
正確的方法:只要不是機(jī)密系統(tǒng),就需要等級(jí)保護(hù)���,這與網(wǎng)絡(luò)無關(guān)��。此外�����,內(nèi)部網(wǎng)絡(luò)的保護(hù)措施可能比外部網(wǎng)絡(luò)弱�����,但容易中毒和攻擊�����。因此���,即使是內(nèi)部網(wǎng)絡(luò)系統(tǒng)也應(yīng)及時(shí)進(jìn)行等級(jí)保護(hù)!
擴(kuò)展知識(shí):內(nèi)部網(wǎng)絡(luò)并不意味著安全����,現(xiàn)在很少有純粹的物理內(nèi)部網(wǎng)絡(luò)��,其中大部分或多或少與互聯(lián)網(wǎng)相連��。一旦內(nèi)部網(wǎng)絡(luò)中毒����,它會(huì)迅速傳播�,很難清除����,因?yàn)闆]有許多技術(shù)措施,幾乎處于裸奔狀態(tài)����。一旦中毒,它很容易交叉���。
4����、等保測(cè)評(píng)以系統(tǒng)為單位�����,不能針對(duì)單位整體進(jìn)行
概述:在現(xiàn)實(shí)中,許多企業(yè)事業(yè)單位不了解等級(jí)保護(hù)的意義�。他們錯(cuò)誤地認(rèn)為這是為單位開展的業(yè)務(wù),并覺得對(duì)自己的單位進(jìn)行等級(jí)保護(hù)評(píng)估已經(jīng)完成��。
正確做法:等保測(cè)評(píng)如果以系統(tǒng)為單位���,需要做多少次信息系統(tǒng)等保測(cè)評(píng)����。
拓展知識(shí):信息系統(tǒng)通常由服務(wù)器����、主機(jī)、數(shù)據(jù)庫��、設(shè)備等多種物體組成��,等保測(cè)評(píng)除實(shí)物測(cè)量外�,還需要測(cè)量相關(guān)的安全管理制度。
5��、等保測(cè)評(píng)整改后的費(fèi)用由系統(tǒng)的等級(jí)���、措施等決定�,不一定很高
概況:總有企事業(yè)單位擔(dān)心等保測(cè)評(píng)安全建設(shè)整改需要花費(fèi)大量資金。
正確的做法:等待整改需要花多少錢�,與信息系統(tǒng)的水平、現(xiàn)有的安全保護(hù)措施和網(wǎng)絡(luò)運(yùn)營(yíng)商對(duì)評(píng)估分?jǐn)?shù)的期望有關(guān)����,不一定很高,可能不會(huì)花錢���!
等保測(cè)評(píng)項(xiàng)目中遇到的六大誤區(qū)
誤區(qū)一:系統(tǒng)已上云或托管���,就不用做等保
系統(tǒng)責(zé)任主體是屬于網(wǎng)絡(luò)運(yùn)營(yíng)者自己��,需要承擔(dān)相應(yīng)的網(wǎng)絡(luò)安全責(zé)任
誤區(qū)二:系統(tǒng)定級(jí)越低越好
系統(tǒng)定級(jí)需要合理���,安全責(zé)任沒有履行到位會(huì)被處罰
誤區(qū)三:等保工作做測(cè)評(píng)就可以
測(cè)評(píng)只是等級(jí)保護(hù)工作中的一項(xiàng)
誤區(qū)四:等保測(cè)評(píng)做過一次就可以了
等保工作需要根據(jù)具體的行業(yè)規(guī)定需求安排合理的評(píng)測(cè)時(shí)間
誤區(qū)五:系統(tǒng)在內(nèi)網(wǎng)���,不需要做等保
所有非涉密系統(tǒng)都屬于等級(jí)保護(hù)范疇
誤區(qū)六:?jiǎn)挝徽w做一個(gè)等保測(cè)評(píng)
等保測(cè)評(píng)是按照信息系統(tǒng)來的,而不是單位
在線咨詢 
