10個關于等級保護的認知誤區(qū),，你都了解嗎？

10個關于等級保護的認知誤區(qū),，你都了解嗎,？

10個關于等級保護的認知誤區(qū)，你都了解嗎,？

互聯(lián)網的快速發(fā)展為企業(yè)帶來了巨大的機遇，企業(yè)也將面臨著嚴峻的挑戰(zhàn),；在此背景下,，企業(yè)如果想要保證業(yè)務安全且穩(wěn)定的運營，就必須有效提升企業(yè)信息安全,，降低信息風險，避免網絡安全問題的發(fā)生,。這時網絡安全等級保護尤為重要,，它是一個行之有效而又全面提升的整體解決方案,。但說起等級保護，很多人對它都存在認知誤區(qū)

誤區(qū)一：已經托管了云系統(tǒng),，就不需要做等保

根據(jù)相關原則,，該系統(tǒng)責任主體還是屬于網絡運營者自己,，還是得承擔相應的網絡安全責任，該進行系統(tǒng)定級還是需要進行定級,，該做等保的還是得做等保,。

系統(tǒng)上云或者托管后，并不是安全責任主體轉移，只是系統(tǒng)所在機房地址的變更,，當然在公有云模式下，laas,、Paas,、Saas不同模式相應的安全責任會有些區(qū)別，但并不是沒有責任,。

誤區(qū)二：系統(tǒng)定級越低越好

最終定級是根據(jù)受侵害的客體以及對客體侵害的程度來確定的，以事實為依據(jù),，而不是主觀隨意定級。定級低了,，表面上要求更容易滿足,，但相應的防護措施也相對不足，萬一你的系統(tǒng)不小心被攻擊破壞造成一定不良影響,，在主管部門進行責任認定追查時，很有可能就會因為系統(tǒng)定級不合理,，安全責任沒有履行到位而被處罰,。

誤區(qū)三：系統(tǒng)定級后就有人監(jiān)管了

并不是這樣的,，所有非涉密系統(tǒng)都屬于等級保護范疇,，沒有定級不代表不需要被監(jiān)管，如果沒有被納入監(jiān)管,，反而會比較危險,，哪天出了事就比較難以收拾殘局。定級后或者被監(jiān)管,，主管單位會在重點時刻對我們的重要信息系統(tǒng)進行一定掃描及保護，會及時告知發(fā)現(xiàn)的一些問題,，避免發(fā)生網絡安全攻擊事件;一些重要的政策要求或者行業(yè)會議，也會通知你們過來參會,，方便大家及時了解最新的網絡安全形勢,，有利于開展網絡安全工作,。

誤區(qū)四：等級保護就是做個測評而已

等級保護工作不僅是一個測評，而是包含：定級、備案,、測評,、建設整改和監(jiān)督審查五項內容，測評只是其中一項,。

誤區(qū)五：等保測評做一次就可以

并不是，等保是一個持續(xù)性的工作,，等保測評也是一個周期性的工作,，三級系統(tǒng)要求每年做一次,，四級系統(tǒng)每半年做一次，二級系統(tǒng)部分行業(yè)明確要求每兩年做一次,，沒有明確要求的行業(yè)建議大家兩年做一次,。

誤區(qū)六：只要不出事，不做等保也沒關系

錯誤!《中華人民共和國網絡安全法》第二十一條國家實行網絡安全等級保護制度,。網絡運營者應當按照網絡安全等級保護制度的要求，履行下列安全保護義務,，保障網絡免受干擾,、破壞或者未經授權的訪問，防止網絡數(shù)據(jù)泄露或者被竊取,、篡改：(五)法律、行政法規(guī)規(guī)定的其他義務,。不做等保就屬于第五個行為,，國內目前已經有公開報道的因為沒有落實等級保護制度而被處罰的真實案例。等保要及時做,，不要等。

誤區(qū)七：內網,，無需進行等保

所有非涉密系統(tǒng)都屬于等級保護范疇,，和系統(tǒng)在外網還是內網沒有關系;在內網的系統(tǒng)往往其網絡安全技術措施做的并不好,，甚至不少系統(tǒng)已經中毒不淺,，不論系統(tǒng)在內網還是外網都得及時開展等保工作。

誤區(qū)八：做完等保測評,，需要花費很多錢進行整改

并不是,，整改花多少錢取決于你的信息系統(tǒng)等級,、系統(tǒng)現(xiàn)有的安全防護措施狀態(tài)以及網絡運營者對測評分數(shù)的期望值,，不一定要花費很多錢,。

誤區(qū)九：信息系統(tǒng)上云就安全了

很多單位認為網站和信息系統(tǒng)上云后就安全了,，等保不用做了。信息系統(tǒng)是否上云,，安全責任主體都不會變,。各類云平臺只提供平臺和簡單的安全措施，安全責任主體單位還是要按等保要求落實相應的安全工作,，只是物理和環(huán)境安全等部分安全工作由云平臺承擔。

誤區(qū)十：云系統(tǒng)是到注冊經營地備案

云系統(tǒng)應當在系統(tǒng)實際運維團隊所在地市網安部門進行系統(tǒng)備案,，因為這樣方便屬地公安對系統(tǒng)進行監(jiān)管,。