等保测评的相关注意事项—陆陆科技
1.等保测评是一项周期性、连续性的工作,不同等级要求0.5-2年做一次。
概述:许多企事业单位认为等级保护是一项正式的工作,抱着应对的态度,并不注重等保的期限。
正确做法:需要持续进行等级保护,尤其是等保测评。不同级别的系统会有不同的评价周期要求:4级半年一次,3级一年一次,2级两年一次(有行业差异,但都明确或建议2年一次)。
2.如果不做等级保护,可能会面临惩罚。
概述:很多企事业单位认为,只要不涉及网络安全、网络事件,就可以不做等级保护,没有事故。
正确做法:《网络安全法》第五十九条规定:
网络运营者不履行规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
关键信息基础设施的运营者不履行规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
3.即使系统在内网,也需要及时进行等级保护。
概述:很多企事业单位将系统存在于单位内网或专网中,认为不对外=安全,这样就不用进行等级保护工作。
正确做法:只要不是机密系统,就需要等级保护,这与网络无关。此外,内部网络的保护措施可能比外部网络弱,更容易中毒。因此,即使是内部网络系统也应及时进行等级保护。
4、等保测评整改后的费用由系统的等级、信息系统规模等决定,不一定很高。
概况:总有企事业单位担心等保测评安全建设整改需要花费大量资金。
正确的做法:等待整改需要花多少钱,与信息系统的水平、现有的安全保护措施和网络运营商对评估分数的期望有关,不一定很高。
等保测评中遇到的六大误区
误区一:系统已上云或托管,就不用做等保。
系统责任主体是属于网络运营者自己,需要承担相应的网络安全责任。
误区二:系统定级越低越好。
系统定级需要合理,安全责任没有履行到位会被处罚。
误区三:等保工作做测评就可以。
测评只是等级保护工作中的一项。
误区四:等保测评做过一次就可以了。
等保工作需要根据具体的行业规定需求安排合理的评测时间。
误区五:系统在内网,不需要做等保。
所有非涉密系统都属于等级保护范畴。
误区六:单位整体做一个等保测评。
等保测评是按照信息系统来的,而不是单位。