1����、云系統(tǒng)到哪里進(jìn)行系統(tǒng)定級(jí)備案?
背景:云系統(tǒng)由于部署在各類云平臺(tái)上面���,而云平臺(tái)的實(shí)際物理地址往往和云系統(tǒng)網(wǎng)絡(luò)運(yùn)營(yíng)者不在同一地址����,大型云平臺(tái)還有許多物理節(jié)點(diǎn)��,很難確定云平臺(tái)的具體物理地址���,那么這種情況下云系統(tǒng)到底到云平臺(tái)所在注冊(cè)地址進(jìn)行系統(tǒng)備案���,還是到自己所在注冊(cè)地址進(jìn)行備案,如果自己的運(yùn)維團(tuán)隊(duì)和注冊(cè)經(jīng)營(yíng)地址不一致怎么辦�?到底去哪里備案?不少人以為是到注冊(cè)經(jīng)營(yíng)地進(jìn)行備案���。
答:云系統(tǒng)應(yīng)當(dāng)在系統(tǒng)實(shí)際運(yùn)維團(tuán)隊(duì)所在地市網(wǎng)安部門(mén)進(jìn)行系統(tǒng)備案�����,因?yàn)檫@樣方便屬地公安對(duì)系統(tǒng)進(jìn)行監(jiān)管�。
擴(kuò)展:在云計(jì)算環(huán)境中,應(yīng)將云服務(wù)方側(cè)的云計(jì)算平臺(tái)單獨(dú)作為定級(jí)對(duì)象定級(jí)�����,云租戶側(cè)的等級(jí)保護(hù)對(duì)象也應(yīng)作為單獨(dú)的定級(jí)對(duì)象定級(jí)����。
2、我的系統(tǒng)已經(jīng)上云或者系統(tǒng)托管到其他地方�����,系統(tǒng)就不歸我管了��,就不用做等保了����?
背景:系統(tǒng)上云的情況越來(lái)越多,不論是公有云(阿里云���、騰訊云�、亞馬遜云等)還是各類私有云(政務(wù)云���、內(nèi)部云平臺(tái)等)或者就是直接托管到IDC機(jī)房�,一些客戶認(rèn)為系統(tǒng)已經(jīng)不在自己機(jī)房了����,所以系統(tǒng)的相應(yīng)安全運(yùn)維就不歸自己管了,自然等保工作就不需要做了���。
答:根據(jù)“誰(shuí)運(yùn)營(yíng)誰(shuí)負(fù)責(zé)�����,誰(shuí)使用誰(shuí)負(fù)責(zé)��,誰(shuí)主管誰(shuí)負(fù)責(zé)”的原則�����,該系統(tǒng)責(zé)任主體還是屬于網(wǎng)絡(luò)運(yùn)營(yíng)者自己�,所以還是得承擔(dān)相應(yīng)的網(wǎng)絡(luò)安全責(zé)任��,該進(jìn)行系統(tǒng)定級(jí)的還是得定級(jí),該做等保的還是得做等保����。
擴(kuò)展:系統(tǒng)上云或托管后,并不是安全責(zé)任主體轉(zhuǎn)移��,只是系統(tǒng)所在機(jī)房地址的變更�����,當(dāng)然在公有云模式下�,Iaas、Paas�����、Saas不同模式相應(yīng)的安全責(zé)任會(huì)有些區(qū)別����,但是并不是沒(méi)有責(zé)任。
3�����、系統(tǒng)定級(jí)越低越好��?
背景:一些客戶擔(dān)心系統(tǒng)定級(jí)定高了后期給自己工作增加麻煩,一方面等級(jí)高了��,技術(shù)要求高了�,需要做的工作多了����;另一方面三級(jí)系統(tǒng)需要每年都做測(cè)評(píng),也覺(jué)得麻煩���。所以想著系統(tǒng)定個(gè)二級(jí)就可以了�,自己省事����。
答:首先系統(tǒng)到底定幾級(jí)是根據(jù)受侵害的客體以及對(duì)客體侵害的程度來(lái)確定的,是以事實(shí)為根據(jù)�,而不是拍腦袋決定的。系統(tǒng)等級(jí)定低了�,乍一看可能工作上是容易做了,但是反而是我們沒(méi)有落實(shí)好網(wǎng)絡(luò)安全保護(hù)義務(wù)的直接表現(xiàn)�����,系統(tǒng)等級(jí)低了相應(yīng)的安全防護(hù)要求也低了���,那么萬(wàn)一你的系統(tǒng)不小心被攻擊破壞造成一定不良影響����,在主管部門(mén)進(jìn)行責(zé)任認(rèn)定追查時(shí),很有可能就會(huì)因?yàn)橄到y(tǒng)定級(jí)不合理�,安全責(zé)任沒(méi)有履行到位而被處罰。得不償失����,還是安安穩(wěn)穩(wěn)把自己該做的工作做好。
擴(kuò)展:系統(tǒng)定級(jí)按照等保1.0的要求是自主定級(jí)���,有主管部門(mén)的需要主管部門(mén)審核�����,最終報(bào)送公安機(jī)關(guān)進(jìn)行審核����。所以定級(jí)并不是想定幾級(jí)就定幾級(jí)的�。預(yù)計(jì)今年會(huì)發(fā)布的等保2.0里定級(jí)流程新增了“專家評(píng)審”和“主管部門(mén)審核”兩個(gè)環(huán)節(jié),這樣定級(jí)過(guò)程將會(huì)變得更加規(guī)范����,定級(jí)也會(huì)更加準(zhǔn)確�����。
4�、系統(tǒng)定完級(jí)就有人來(lái)管了
背景:一些客戶會(huì)覺(jué)得系統(tǒng)定了級(jí)以后相關(guān)主管單位就會(huì)不時(shí)地來(lái)安全檢查了���,給自己的工作增加了麻煩,被人管的感覺(jué)很不好�����。
答:所有非涉密系統(tǒng)都屬于等級(jí)保護(hù)范疇�,沒(méi)有定級(jí)不代表不需要被監(jiān)管,相反如果沒(méi)有被納入監(jiān)管����,反而會(huì)比較危險(xiǎn),哪天出了事就比較難收拾殘局���。定級(jí)后或者被監(jiān)管����,主管單位會(huì)在重點(diǎn)時(shí)刻對(duì)我們的重要信息系統(tǒng)進(jìn)行一定掃描及保護(hù)��,會(huì)及時(shí)告知發(fā)現(xiàn)的一些問(wèn)題,避免發(fā)生網(wǎng)絡(luò)安全攻擊事件��;同時(shí)一些重要的政策要求或者行業(yè)會(huì)議�,也會(huì)通知你們過(guò)來(lái)參會(huì),方便大家及時(shí)了解最新的網(wǎng)絡(luò)安全形勢(shì)�,有利于大家開(kāi)展好網(wǎng)絡(luò)安全工作。
擴(kuò)展:做了等保后�,主管單位并不一定會(huì)對(duì)你們單位做相關(guān)安全檢查,單位很多����,重要的系統(tǒng)很多,主管單位也有自己的一些統(tǒng)一安排�����,到底會(huì)不會(huì)對(duì)你們檢查取決于很多因素���,但是一般單位可以不需要有這些顧慮���。來(lái)檢查是好事,可以及時(shí)發(fā)現(xiàn)問(wèn)題����,督促指導(dǎo)大家開(kāi)展好網(wǎng)絡(luò)安全工作�。
5�����、等級(jí)保護(hù)工作就是做個(gè)測(cè)評(píng)就可以��?
背景:一些人以為等級(jí)保護(hù)工作主要就是對(duì)系統(tǒng)進(jìn)行定級(jí)備案�����,然后做個(gè)測(cè)評(píng)就可以了�����。
答:等級(jí)保護(hù)工作不僅是一個(gè)測(cè)評(píng)而是包含:定級(jí)����、備案����、測(cè)評(píng)、建設(shè)整改和監(jiān)督審查五項(xiàng)內(nèi)容���,測(cè)評(píng)只是其中一項(xiàng)����。
擴(kuò)展:測(cè)評(píng)只是開(kāi)始,更重要的是我們通過(guò)測(cè)評(píng)尋找出差距���,分析出目前我們的系統(tǒng)存在的風(fēng)險(xiǎn)�����,及時(shí)查漏補(bǔ)缺���,進(jìn)行安全建設(shè)整改,提高信息系統(tǒng)的安全防護(hù)能力���,降低系統(tǒng)受到攻擊破壞的概率����。
蘇公網(wǎng)安備 32070502010616號(hào)