一、等保測評是什么意思
等(deng)保(bao)(bao)測評(ping)(ping)(ping)是(shi)經公安(an)部認證的(de)具(ju)有(you)資質的(de)測評(ping)(ping)(ping)機構,依據(ju)國家信息安(an)全(quan)等(deng)級保(bao)(bao)護(hu)規范規定,受有(you)關(guan)單(dan)位委托(tuo),按照有(you)關(guan)管理規范和(he)技術(shu)標(biao)準(zhun),對(dui)信息系統安(an)全(quan)等(deng)級保(bao)(bao)護(hu)狀況進行檢測評(ping)(ping)(ping)估(gu)的(de)活動。全(quan)稱(cheng)是(shi)信息安(an)全(quan)等(deng)級保(bao)(bao)護(hu)測評(ping)(ping)(ping)。
二、等保測評基本內容
對信息系統安全等(deng)級保護狀況進行測試評估,應包括(kuo)兩(liang)個方(fang)面的內容。
1、安全(quan)控制測(ce)評(ping):主要(yao)測(ce)評(ping)信息安全(quan)等級保(bao)護要(yao)求的(de)基(ji)本安全(quan)控制在信息系統中的(de)實施配置情況(kuang)。
2、系統(tong)整(zheng)(zheng)體(ti)測評(ping):主要測評(ping)分(fen)析信息系統(tong)的整(zheng)(zheng)體(ti)安(an)全性。
其中,安全(quan)控制測評是(shi)信息系統整體(ti)安全(quan)測評的基礎。對安全(quan)控制測評的描述(shu),使用測評單元(yuan)(yuan)方式組(zu)織(zhi)。測評單元(yuan)(yuan)分為安全(quan)技術測評和安全(quan)管理(li)測評兩(liang)大類。
①安(an)(an)(an)全(quan)(quan)(quan)(quan)技術測(ce)評:包括(kuo)物理安(an)(an)(an)全(quan)(quan)(quan)(quan)、網絡安(an)(an)(an)全(quan)(quan)(quan)(quan)、主機(ji)系統(tong)安(an)(an)(an)全(quan)(quan)(quan)(quan)、應用安(an)(an)(an)全(quan)(quan)(quan)(quan)和數據(ju)安(an)(an)(an)全(quan)(quan)(quan)(quan)等五(wu)個層面上的安(an)(an)(an)全(quan)(quan)(quan)(quan)控制測(ce)評。
②安(an)(an)全(quan)管(guan)理(li)(li)(li)測評:包括安(an)(an)全(quan)管(guan)理(li)(li)(li)機構、安(an)(an)全(quan)管(guan)理(li)(li)(li)制(zhi)度、人員(yuan)安(an)(an)全(quan)管(guan)理(li)(li)(li)、系統(tong)建設管(guan)理(li)(li)(li)和系統(tong)運維管(guan)理(li)(li)(li)等(deng)五(wu)個方(fang)面的(de)安(an)(an)全(quan)控制(zhi)測評。
三、等保測評規定幾年做一次
1、等保測評(ping)是一項周期性、連續性的工作,不同等級(ji)要求0.5-2年做一次。
概述(shu):許多企事業(ye)單位認為等級保護是一項正式的工作,抱著應對的態度,覺得做完這個就拉倒。
正(zheng)確做法:需要(yao)持續進行(xing)等(deng)級保(bao)護,尤(you)其是等(deng)保(bao)測評(ping)。不同級別的系(xi)統會有不同的評(ping)價周期要(yao)求:4級00.5年一次,3年一次,2年一次,2年一次(有行(xing)業差異(yi),但都明確或(huo)建議2年一次)。
擴展知識:等(deng)級(ji)保(bao)護評估是對系(xi)統保(bao)護水(shui)平的測(ce)試,不應處(chu)理。如果企業(ye)事業(ye)單(dan)位的制(zhi)度按照等(deng)保(bao)險要求認真做(zuo)好(hao)(hao),同時也能有效地(di)做(zuo)好(hao)(hao)網絡安全(quan)工作(zuo)。
2、如果你(ni)不做等級保護,你(ni)可能會面臨懲(cheng)罰
概述:很(hen)多(duo)企事(shi)(shi)(shi)業單(dan)位(wei)認為,只要不涉(she)及網絡(luo)(luo)安全、網絡(luo)(luo)攻擊事(shi)(shi)(shi)件,就(jiu)可以不做等級保(bao)護,沒有事(shi)(shi)(shi)故(gu)。
正確做法(fa):《中華人民共和國網絡安全法(fa)》第二十一(yi)條已作出相關規定(具體內容不(bu)再(zai)重復)。如果系(xi)統(tong)運營商未(wei)能(neng)進行等(deng)級(ji)保護,則屬于(yu)違反其他義務的(de)行為,可(ke)能(neng)會受到(dao)處罰。以(yi)前(qian)也有類似(si)的(de)報告,所以(yi)及時進行等(deng)級(ji)保護。不(bu)要(yao)等(deng)到(dao)受到(dao)懲(cheng)罰。
拓(tuo)展知識:安(an)(an)全總是(shi)相對的,但要及時做好。嚴格執行政策法規的要求,也是(shi)保(bao)護(hu)企(qi)事業單(dan)位安(an)(an)全的一項措施。
3、即使系統在內網,也需要及時進行等級保護
概述:很多企事業(ye)單位(wei)將系統存在于單位(wei)內(nei)網或專(zhuan)網中,認為不(bu)對外=安全,這樣就不(bu)能進行等級保護工作。
正確的方(fang)法:只要不是(shi)機密(mi)系統(tong),就(jiu)需要等(deng)級保護(hu),這與網(wang)絡(luo)(luo)無關。此(ci)外(wai)(wai),內部(bu)網(wang)絡(luo)(luo)的保護(hu)措施(shi)可(ke)能比外(wai)(wai)部(bu)網(wang)絡(luo)(luo)弱,但容易(yi)中毒和攻擊。因(yin)此(ci),即使是(shi)內部(bu)網(wang)絡(luo)(luo)系統(tong)也應及時進(jin)行等(deng)級保護(hu)!
擴展知識:內部(bu)(bu)(bu)網(wang)絡(luo)并不意味著(zhu)安全(quan),現在很少有純(chun)粹的物(wu)理內部(bu)(bu)(bu)網(wang)絡(luo),其中大(da)部(bu)(bu)(bu)分(fen)或多(duo)或少與互聯網(wang)相連。一(yi)旦內部(bu)(bu)(bu)網(wang)絡(luo)中毒,它會迅速傳播,很難清除,因為(wei)沒(mei)有許(xu)多(duo)技術措施,幾乎處于裸奔狀(zhuang)態。一(yi)旦中毒,它很容易交(jiao)叉。
4、等保測評以系統為單(dan)位,不(bu)能針對單(dan)位整體進行(xing)
概(gai)述:在現(xian)實中,許(xu)多企業事(shi)業單(dan)位不了解等級保護(hu)的(de)(de)意義。他們錯誤地認為(wei)這是為(wei)單(dan)位開(kai)展的(de)(de)業務,并(bing)覺得(de)對自己的(de)(de)單(dan)位進行(xing)等級保護(hu)評估已經完(wan)成。
正確做法:等(deng)保(bao)測評如(ru)果以系(xi)統為單位(wei),需要做多少次信息系(xi)統等(deng)保(bao)測評。
拓展知識(shi):信息系統通常由服務器(qi)、主機、數據庫、設備等多種物體(ti)組成,等保測評(ping)除實物測量外,還需(xu)要測量相(xiang)關(guan)的(de)安全管理制(zhi)度。
5、等(deng)保測評整改后的費用由系(xi)統(tong)的等(deng)級(ji)、措施等(deng)決定,不一(yi)定很高
概況:總(zong)有(you)企(qi)事業單位擔(dan)心等(deng)保(bao)測評安全建設整改(gai)需要花費(fei)大量資(zi)金。
正(zheng)確的(de)(de)做法(fa):等(deng)待整(zheng)改需要花多(duo)少錢,與信息系統的(de)(de)水平、現有的(de)(de)安全保護(hu)措施和(he)網(wang)絡運營商對評估分(fen)數(shu)的(de)(de)期望有關,不(bu)(bu)一(yi)定很高,可能不(bu)(bu)會(hui)花錢!
四、等保測評項目中遇到的六大誤區
誤區一:系統已上云或托管,就不用做等保
系統責任主體是屬于網絡運營者自己,需要(yao)承擔相應的網絡安全責任。
誤區二:系統定級越低越好
系(xi)統定級需要合理,安全責任沒(mei)有履行到位(wei)會被處罰。
誤區三:等保(bao)工作做測評就可(ke)以
測評只是(shi)等(deng)級保護工作中(zhong)的一項。
誤區(qu)四:等保測(ce)評(ping)做過(guo)一次(ci)就可以了
等保工(gong)作(zuo)需要根(gen)據具體的行業規定需求安排(pai)合(he)理的評測時間。
誤區五:系(xi)統(tong)在內網,不需(xu)要做等保(bao)
所(suo)有非涉(she)密(mi)系統都(dou)屬(shu)于等級保護范疇。
誤區六:單位整(zheng)體(ti)做(zuo)一個等保測評
等保測(ce)評是(shi)按照信息系統來的,而不是(shi)單位。