1、云系统到哪里进行系统定级备案?
背景:云系统由于部署在各类云平台上面,而云平台的实际物理地址往往和云系统网络运营者不在同一地址,大型云平台还有许多物理节点,很难确定云平台的具体物理地址,那么这种情况下云系统到底到云平台所在注册地址进行系统备案,还是到自己所在注册地址进行备案,如果自己的运维团队和注册经营地址不一致怎么办?到底去哪里备案?不少人以为是到注册经营地进行备案。
答:云系统应当在系统实际运维团队所在地市网安部门进行系统备案,因为这样方便属地公安对系统进行监管。
扩展:在云计算环境中,应将云服务方侧的云计算平台单独作为定级对象定级,云租户侧的等级保护对象也应作为单独的定级对象定级。
2、我的系统已经上云或者系统托管到其他地方,系统就不归我管了,就不用做等保了?
背景:系统上云的情况越来越多,不论是公有云(阿里云、腾讯云、亚马逊云等)还是各类私有云(政务云、内部云平台等)或者就是直接托管到IDC机房,一些客户认为系统已经不在自己机房了,所以系统的相应安全运维就不归自己管了,自然等保工作就不需要做了。
答:根据“谁运营谁负责,谁使用谁负责,谁主管谁负责”的原则,该系统责任主体还是属于网络运营者自己,所以还是得承担相应的网络安全责任,该进行系统定级的还是得定级,该做等保的还是得做等保。
扩展:系统上云或托管后,并不是安全责任主体转移,只是系统所在机房地址的变更,当然在公有云模式下,Iaas、Paas、Saas不同模式相应的安全责任会有些区别,但是并不是没有责任。
3、系统定级越低越好?
背景:一些客户担心系统定级定高了后期给自己工作增加麻烦,一方面等级高了,技术要求高了,需要做的工作多了;另一方面三级系统需要每年都做测评,也觉得麻烦。所以想着系统定个二级就可以了,自己省事。
答:首先系统到底定几级是根据受侵害的客体以及对客体侵害的程度来确定的,是以事实为根据,而不是拍脑袋决定的。系统等级定低了,乍一看可能工作上是容易做了,但是反而是我们没有落实好网络安全保护义务的直接表现,系统等级低了相应的安全防护要求也低了,那么万一你的系统不小心被攻击破坏造成一定不良影响,在主管部门进行责任认定追查时,很有可能就会因为系统定级不合理,安全责任没有履行到位而被处罚。得不偿失,还是安安稳稳把自己该做的工作做好。
扩展:系统定级按照等保1.0的要求是自主定级,有主管部门的需要主管部门审核,最终报送公安机关进行审核。所以定级并不是想定几级就定几级的。预计今年会发布的等保2.0里定级流程新增了“专家评审”和“主管部门审核”两个环节,这样定级过程将会变得更加规范,定级也会更加准确。
4、系统定完级就有人来管了
背景:一些客户会觉得系统定了级以后相关主管单位就会不时地来安全检查了,给自己的工作增加了麻烦,被人管的感觉很不好。
答:所有非涉密系统都属于等级保护范畴,没有定级不代表不需要被监管,相反如果没有被纳入监管,反而会比较危险,哪天出了事就比较难收拾残局。定级后或者被监管,主管单位会在重点时刻对我们的重要信息系统进行一定扫描及保护,会及时告知发现的一些问题,避免发生网络安全攻击事件;同时一些重要的政策要求或者行业会议,也会通知你们过来参会,方便大家及时了解最新的网络安全形势,有利于大家开展好网络安全工作。
扩展:做了等保后,主管单位并不一定会对你们单位做相关安全检查,单位很多,重要的系统很多,主管单位也有自己的一些统一安排,到底会不会对你们检查取决于很多因素,但是一般单位可以不需要有这些顾虑。来检查是好事,可以及时发现问题,督促指导大家开展好网络安全工作。
5、等级保护工作就是做个测评就可以?
背景:一些人以为等级保护工作主要就是对系统进行定级备案,然后做个测评就可以了。
答:等级保护工作不仅是一个测评而是包含:定级、备案、测评、建设整改和监督审查五项内容,测评只是其中一项。
扩展:测评只是开始,更重要的是我们通过测评寻找出差距,分析出目前我们的系统存在的风险,及时查漏补缺,进行安全建设整改,提高信息系统的安全防护能力,降低系统受到攻击破坏的概率。
来源:CSPEC