一、等保測評是什么意思
等(deng)保(bao)測(ce)評(ping)(ping)是經公(gong)安部認(ren)證(zheng)的具有資(zi)質的測(ce)評(ping)(ping)機(ji)構,依據國家信(xin)(xin)息安全等(deng)級保(bao)護規范規定,受有關單(dan)位委托,按(an)照有關管理規范和技術標準,對信(xin)(xin)息系統安全等(deng)級保(bao)護狀況進行(xing)檢測(ce)評(ping)(ping)估的活動(dong)。全稱是信(xin)(xin)息安全等(deng)級保(bao)護測(ce)評(ping)(ping)。
二、等保測評基本內容
對信息系統安(an)全(quan)等級保(bao)護(hu)狀況進行測試評估,應包括兩個(ge)方(fang)面的內容。
1、安(an)全控(kong)制測評:主要測評信息(xi)安(an)全等級保護要求(qiu)的基本安(an)全控(kong)制在信息(xi)系(xi)統(tong)中的實施配置(zhi)情況。
2、系統整體測評:主要測評分析信息系統的(de)整體安全(quan)性。
其中,安全控(kong)制(zhi)測(ce)評是(shi)信息系統整(zheng)體(ti)安全測(ce)評的基礎(chu)。對安全控(kong)制(zhi)測(ce)評的描(miao)述,使用測(ce)評單元方(fang)式組(zu)織(zhi)。測(ce)評單元分為安全技術測(ce)評和安全管理測(ce)評兩大類。
①安(an)全(quan)技術測評(ping):包括(kuo)物(wu)理安(an)全(quan)、網絡安(an)全(quan)、主機系(xi)統安(an)全(quan)、應用安(an)全(quan)和數據安(an)全(quan)等五(wu)個(ge)層面上的安(an)全(quan)控(kong)制測評(ping)。
②安全(quan)管理(li)測(ce)評:包括安全(quan)管理(li)機(ji)構、安全(quan)管理(li)制(zhi)度、人員安全(quan)管理(li)、系統建設管理(li)和系統運維管理(li)等五個(ge)方(fang)面(mian)的安全(quan)控制(zhi)測(ce)評。
三、等保測評規定幾年做一次
1、等(deng)保(bao)測(ce)評(ping)是一項周期性、連續性的工(gong)作,不同等(deng)級要求(qiu)0.5-2年做一次。
概述(shu):許多企事業單位認為等級(ji)保護是一項正式的工作(zuo),抱著應對的態度,覺(jue)得做完(wan)這個就(jiu)拉倒。
正(zheng)確(que)做(zuo)法(fa):需要持續(xu)進行(xing)等(deng)級(ji)保(bao)護,尤其(qi)是等(deng)保(bao)測評(ping)(ping)。不同級(ji)別的(de)系統會(hui)有(you)(you)不同的(de)評(ping)(ping)價周期要求:4級(ji)00.5年(nian)一(yi)次,3年(nian)一(yi)次,2年(nian)一(yi)次,2年(nian)一(yi)次(有(you)(you)行(xing)業差異,但都明(ming)確(que)或建(jian)議2年(nian)一(yi)次)。
擴展知識:等級保護(hu)評(ping)估(gu)是對系統保護(hu)水(shui)平的(de)測試,不應處理。如果企業(ye)事業(ye)單(dan)位的(de)制(zhi)度按照等保險(xian)要求(qiu)認真做(zuo)好(hao),同時也能有效地做(zuo)好(hao)網絡安全(quan)工(gong)作。
2、如(ru)果你不做等(deng)級保護,你可能會面臨懲罰
概(gai)述:很(hen)多企事業(ye)單位認為(wei),只要(yao)不涉及網絡安全、網絡攻擊事件,就(jiu)可(ke)以(yi)不做等級保護,沒有事故。
正確做法:《中(zhong)華人民共和國網絡安全法》第二十一條已作(zuo)出相關規定(具體內容不再(zai)重復(fu))。如果系統運營商(shang)未(wei)能(neng)(neng)進行(xing)(xing)等(deng)級保護,則屬于(yu)違(wei)反其(qi)他義務的行(xing)(xing)為,可能(neng)(neng)會受到處罰。以(yi)前(qian)也有(you)類似的報(bao)告,所(suo)以(yi)及(ji)時進行(xing)(xing)等(deng)級保護。不要等(deng)到受到懲罰。
拓展知識:安(an)全總是(shi)相對的,但要及(ji)時(shi)做好。嚴格執行政策(ce)法規(gui)的要求,也是(shi)保(bao)護企(qi)事業(ye)單(dan)位安(an)全的一項措施。
3、即使系統在內網,也需要及時進行(xing)等級(ji)保護
概述(shu):很(hen)多(duo)企事(shi)業單(dan)位將系統存(cun)在于單(dan)位內(nei)網(wang)或專網(wang)中,認為不對(dui)外=安全,這樣(yang)就不能進行等(deng)級保(bao)護工作。
正確的(de)方法:只要不是機(ji)密系(xi)統,就需要等級(ji)(ji)保護,這與(yu)網絡(luo)(luo)無關。此外,內部(bu)網絡(luo)(luo)的(de)保護措(cuo)施可能(neng)比外部(bu)網絡(luo)(luo)弱,但容(rong)易中(zhong)毒和攻(gong)擊。因(yin)此,即使(shi)是內部(bu)網絡(luo)(luo)系(xi)統也(ye)應及時進行等級(ji)(ji)保護!
擴展知識(shi):內部(bu)網(wang)(wang)絡并不意味著安全,現在很少有純粹的(de)物(wu)理內部(bu)網(wang)(wang)絡,其中(zhong)大部(bu)分或(huo)多或(huo)少與互聯網(wang)(wang)相連(lian)。一(yi)旦內部(bu)網(wang)(wang)絡中(zhong)毒(du),它會迅速(su)傳播,很難清除,因為沒(mei)有許多技術措施(shi),幾乎處于裸奔狀態。一(yi)旦中(zhong)毒(du),它很容易交叉。
4、等保(bao)測評以系(xi)統為單位,不能針對單位整(zheng)體進行
概述:在(zai)現實中,許多企(qi)業事業單(dan)位不了解等級保(bao)護(hu)(hu)的(de)(de)意(yi)義。他們錯誤地認(ren)為這是為單(dan)位開展的(de)(de)業務,并覺得對自己的(de)(de)單(dan)位進行等級保(bao)護(hu)(hu)評估已(yi)經完(wan)成(cheng)。
正確做(zuo)法:等保測(ce)評(ping)(ping)如果以系(xi)統為單位,需要(yao)做(zuo)多(duo)少(shao)次信息系(xi)統等保測(ce)評(ping)(ping)。
拓展(zhan)知識:信息系(xi)統通常由服務器、主機、數(shu)據(ju)庫、設備等多種物體組成,等保測(ce)評(ping)除(chu)實物測(ce)量(liang)外,還需要測(ce)量(liang)相(xiang)關的(de)安全管(guan)理制(zhi)度(du)。
5、等保(bao)測評整(zheng)改后(hou)的費用由系統的等級(ji)、措施等決定,不一定很高
概況:總(zong)有企事業單位(wei)擔心等保測評安全建(jian)設(she)整改需要花費大量資金。
正確的(de)做法:等(deng)待整改(gai)需要(yao)花多(duo)少錢(qian),與信(xin)息系統的(de)水平、現有(you)的(de)安全保護措施和網絡運營商對評估(gu)分(fen)數的(de)期望有(you)關(guan),不(bu)一定(ding)很高,可(ke)能不(bu)會(hui)花錢(qian)!
四、等保測評項目中遇到的六大誤區
誤區(qu)一:系統已上云或(huo)托管,就不用(yong)做等(deng)保(bao)
系統責任主體是(shi)屬于網絡(luo)運營者自(zi)己,需要承擔(dan)相應的網絡(luo)安全(quan)責任。
誤區二(er):系統(tong)定(ding)級越低越好
系統定級需要合理,安全責任沒有(you)履行到(dao)位會被處罰。
誤區三:等保(bao)工作(zuo)做測評就可以
測評(ping)只是等級(ji)保護(hu)工作(zuo)中的一項。
誤區四(si):等保測評做過一次就可以了
等保工作需要根(gen)據具體的行(xing)業規定需求(qiu)安(an)排(pai)合理的評測時(shi)間。
誤區五:系(xi)統在內(nei)網,不(bu)需要做等保
所有非涉(she)密系統都(dou)屬于等級(ji)保護范疇。
誤區六:單位整體做一個等保(bao)測評
等(deng)保(bao)測評是按(an)照信息系統來(lai)的,而不是單位(wei)。