帮助中心
2019年5月13日下午,国家标准新闻发布会上,网络安全等级保护制度2.0标准(以下简称“等保2.0”)正式发布,实施时间为2019年12月1日。
等级保护测评是经公安部认证的具有资质的测评机构,依据国家信息安全等级保护规范规定,受有关单位委托,按照有关管理规范和技术标准,对信息系统安全等级保护状况进行检测评估的活动。
通过等级保护测评,在满足国家相关法律法规和制度的基本要求和相关主管单位和行业要求上,降低信息安全风险,提高信息系统的安全防护能力,合理地规避或降低风险。
等保2.0标准中,网络安全等级保护监管的对象得到很大扩充,从企业基础的业务系统,拓展到工业控制系统、云计算平台,安全保护的内容也扩大,供应链安全、通报预警等也被纳入其中。这将进一步加强整体的安全防护。
但是,仍然有一些客户对信息安全等级保护的工作存在着疑问和误解:
Question1:等级保护就只是做个测评就可以了?
答:等级保护工作不仅是一个测评,可以说测评只是等保工作的开始。
等保备案和等保测评仅仅是监督这项工作的落实的法定程序。等级保护工作不仅是一个测评而是包含:定级、备案、测评、建设整改和监督审查五项内容,测评只是开始,更重要的是通过测评寻找出差距,分析出目前系统存在的风险,及时查漏补缺,进行安全建设整改,提高信息系统的安全防护能力,降低系统受到攻击破坏的概率。
Question2:已经做过等保测评了,系统就没有安全问题了吧?
答:目前,想仅仅通过等保测评来保证系统的绝对安全,其实是不可能的。
通过测评、整改,落实等级保护制度,确实能规避了大部分的安全风险。不过就目前的测评结果来看,几乎没有任何一个被测系统能全部满足等保要求。目前,级保护测评一般情况下只要不存在高危安全风险,都可以通过测评。且安全是一个动态调整、跟进的过程,而不是通过一次测评,就可以一劳永逸。
Question3:我运营的是内网系统,需不需要做等级测评?:
答:需要。不论系统在内网还是外网都得及时开展等保工作。
实际上,所有非涉密系统都属于等级保护范畴,和系统在外网还是内网没有关系。而且,在内网的系统往往其网络安全技术措施做的并不好,甚至不少系统已经中毒不浅。内网一旦中毒,扩散很快,而且很难清除,因为很多技术措施都没有,几乎在裸奔状态,一旦中毒很容易就跨了。
Question4:等级保护测评结论不符合是不是等级保护工作就白做了?
答:等级保护测评结论不符合表示目前该信息系统存在高危风险或整体安全性较差,不符合等保的相应标准要求,但是这并不代表等级保护工作白做了。
即使你拿着不符合的测评报告,主管单位也是承认你们单位今年的等级保护工作已经开展过了,只是目前的问题较多,没达到相应的标准。
如今, 网络安全技术发展日新月异,网络安全等级保护制度走向一个新的高度,国家网络安全工作步入一个新时代。等保测评是一个基线的要求,在时代的要求下,不断提升等级测评服务产品的升级,力求提升客户的满意度,为网络安全技术发展贡献一份绵薄之力。