误区1:认为等保护2.0是去年推翻等保护1.0,发布2.0相关标准后,很多企业反映:自己之前的系统是基于等保护1.0标准建设的,担心不能满足等保护2.0的要求。 事实上,等保20并没有推翻等保1.0标准,而是对原标准的延伸和优化。 原则上,如果不存在高风险,系统可以满足等保2.0的基本要求。
误解2: 等级保护2.0只是一个特定的标准。 平等担保2.0不是一个标准,而是一系列标准与法律法规共同构成的担保体系。
2017年6月1日生效的“网络安全法”的实施,它标志着保护水平进入2.0时代。自2019年12月1日执行等保险2.0相关的“信息安全技术的网络安全防护的基本要求”,“信息安全保护网络安全评价技术要求”,“网络安全的信息安全技术水平的安全保护设计要求”只是2.0引进保险等,几个重要的标准更新。在此之前,在这之后,分别已经或将发行更多的保险等相关领域2.0标准和管理制度。
误区3:认为“安全风险管理研究中心”就是买产品“安全教育管理服务中心本项主要内容包括信息系统资源管理、审计质量管理、安全生产管理和集中管控四个控制点,集中管控则是重中之重。集中管控偏向日常生活安全运维,主要问题包括数据集中学生管理工作区域、策略分析管理、漏洞管理、日志管理、安全环境事件相关管理。这些放到一起,听起来感觉自己就是SOC,但官方表示并非建议厂商去推SOC平台,其中发展要求的每一项能做到独立集中管控即可(当然能全部集中管控更好)。
“安全信息管理中心”应采取它的意义,它的形状,不能机械地判断是否“安全管理中心的平台。”信息安全不仅仅是一个设备的堆叠,通常重要的是如何操作和维护,如何有效管理各种设备。
误区4:认为网络信息管理系统上云就安全等保2.0主要技术标准进行执行工作之后,很多小型企业发展偏向于把系统研究部署在一些公有云平台。在他们看来,这些公有云平台已满足等保要求,所以我们自己部署在上面的分析系统也默认满足设计要求。
然而,各种云平台只在平台上提供虚拟服务器和简单的安全措施。 如果不购买这些公有云安全服务,或者不通过第三方安全产品,服务进行安全防护,实际上不能满足同等防护的要求。 这就像一座非常安全的建筑,它自己的房间没有锁,很可能会被入侵破坏。
误区5: 认为系统在线评分只能为记录,一些企业认为只有系统在线后才能去评分为记录。 事实上,根据网络安全等级保护的三个同步原则: 同步规划、同步施工、同步使用,《网络安全等级保护基本要求 》标准《第一控制点的安全施工管理指第一“分级归档” ,分级归档应一起完成。 第二个控制点是“安全方案设计” ,要求“安全方案设计应根据被保护对象的安全防护水平进行”。 根据规范要求,应在建设初期对系统进行分级备案,然后按照相应的规划和建设标准进行分级。 如果我们等待建筑工程完成后才重新评级,我们可能因为评级不准确或在建筑工程开始时没有按照相应的评级要求执行安全措施,而无法通过跟进评估。
原因分析了,那等保的意义也就有了:
一降低信息安全风险,提高信息系统的安全性的能力;
二、满足国家相关法律法规和制度的要求;
三、满足相关主管单位和行业要求;
四、合理地进行规避或降低企业风险。
哪些行业需要评估:
政府机构:各大部委,省政府,市委,市政府围绕机构,各业务单位;
金融行业:金融监管机构、各大银行、证券、保险公司等电信行业:各大电信运营商、各省电信公司、各地市电信公司、各类电信服务商等;
能源管理行业:电力企业公司、石油有限公司、烟草公司;
业务部门:大中型企业,中央企业,上市公司;
其它有信息管理系统进行定级需求的行业与单位。