信息安全等級(jí)保護(hù)，是對(duì)信息和信息載體按照重要性等級(jí)分級(jí)別進(jìn)行保護(hù)的一種工作，在中國(guó)、美國(guó)等很多國(guó)家都存在的一種信息安全領(lǐng)域的工作。

在中國(guó)，信息安全等級(jí)保護(hù)廣義上為涉及到該工作的標(biāo)準(zhǔn)、產(chǎn)品、系統(tǒng)、信息等均依據(jù)等級(jí)保護(hù)思想的安全工作；狹義上一般指信息系統(tǒng)安全等級(jí)保護(hù)。

信息安全等級(jí)保護(hù)工作包括定級(jí)、備案、安全建設(shè)和整改、信息安全等級(jí)測(cè)評(píng)、信息安全檢查五個(gè)階段。

信息系統(tǒng)安全等級(jí)測(cè)評(píng)是驗(yàn)證信息系統(tǒng)是否滿足相應(yīng)安全保護(hù)等級(jí)的評(píng)估過程。信息安全等級(jí)保護(hù)要求不同安全等級(jí)的信息系統(tǒng)應(yīng)具有不同的安全保護(hù)能力，一方面通過在安全技術(shù)和安全管理上選用與安全等級(jí)相適應(yīng)的安全控制來(lái)實(shí)現(xiàn)；另一方面分布在信息系統(tǒng)中的安全技術(shù)和安全管理上不同的安全控制，通過連接、交互、依賴、協(xié)調(diào)、協(xié)同等相互關(guān)聯(lián)關(guān)系，共同作用于信息系統(tǒng)的安全功能，使信息系統(tǒng)的整體安全功能與信息系統(tǒng)的結(jié)構(gòu)以及安全控制間、層面間和區(qū)域間的相互關(guān)聯(lián)關(guān)系密切相關(guān)。因此，信息系統(tǒng)安全等級(jí)測(cè)評(píng)在安全控制測(cè)評(píng)的基礎(chǔ)上，還要包括系統(tǒng)整體測(cè)評(píng)。

以下是信息安全等級(jí)保護(hù)工作十大誤區(qū)：

1、云系統(tǒng)到哪里進(jìn)行系統(tǒng)定級(jí)備案？

背景：云系統(tǒng)由于部署在各類云平臺(tái)上面，而云平臺(tái)的實(shí)際物理地址往往和云系統(tǒng)網(wǎng)絡(luò)運(yùn)營(yíng)者不在同一地址，大型云平臺(tái)還有許多物理節(jié)點(diǎn)，很難確定云平臺(tái)的具體物理地址，那么這種情況下云系統(tǒng)到底到云平臺(tái)所在注冊(cè)地址進(jìn)行系統(tǒng)備案，還是到自己所在注冊(cè)地址進(jìn)行備案，如果自己的運(yùn)維團(tuán)隊(duì)和注冊(cè)經(jīng)營(yíng)地址不一致怎么辦？到底去哪里備案？不少人以為是到注冊(cè)經(jīng)營(yíng)地進(jìn)行備案。

答：云系統(tǒng)應(yīng)當(dāng)在系統(tǒng)實(shí)際運(yùn)維團(tuán)隊(duì)所在地市網(wǎng)安部門進(jìn)行系統(tǒng)備案，因?yàn)檫@樣方便屬地公安對(duì)系統(tǒng)進(jìn)行監(jiān)管。

擴(kuò)展：在云計(jì)算環(huán)境中，應(yīng)將云服務(wù)方側(cè)的云計(jì)算平臺(tái)單獨(dú)作為定級(jí)對(duì)象定級(jí)，云租戶側(cè)的等級(jí)保護(hù)對(duì)象也應(yīng)作為單獨(dú)的定級(jí)對(duì)象定級(jí)。

2、我的系統(tǒng)已經(jīng)上云或者系統(tǒng)托管到其他地方，系統(tǒng)就不歸我管了，就不用做等保了？

背景：系統(tǒng)上云的情況越來(lái)越多，不論是公有云（阿里云、騰訊云、亞馬遜云等）還是各類私有云（政務(wù)云、內(nèi)部云平臺(tái)等）或者就是直接托管到IDC機(jī)房，一些客戶認(rèn)為系統(tǒng)已經(jīng)不在自己機(jī)房了，所以系統(tǒng)的相應(yīng)安全運(yùn)維就不歸自己管了，自然等保工作就不需要做了。

答：根據(jù)“誰(shuí)運(yùn)營(yíng)誰(shuí)負(fù)責(zé)，誰(shuí)使用誰(shuí)負(fù)責(zé)，誰(shuí)主管誰(shuí)負(fù)責(zé)”的原則，該系統(tǒng)責(zé)任主體還是屬于網(wǎng)絡(luò)運(yùn)營(yíng)者自己，所以還是得承擔(dān)相應(yīng)的網(wǎng)絡(luò)安全責(zé)任，該進(jìn)行系統(tǒng)定級(jí)的還是得定級(jí)，該做等保的還是得做等保。

擴(kuò)展：系統(tǒng)上云或托管后，并不是安全責(zé)任主體轉(zhuǎn)移，只是系統(tǒng)所在機(jī)房地址的變更，當(dāng)然在公有云模式下，Iaas、Paas、Saas不同模式相應(yīng)的安全責(zé)任會(huì)有些區(qū)別，但是并不是沒有責(zé)任。

3、系統(tǒng)定級(jí)越低越好？

背景：一些客戶擔(dān)心系統(tǒng)定級(jí)定高了后期給自己工作增加麻煩，一方面等級(jí)高了，技術(shù)要求高了，需要做的工作多了；另一方面三級(jí)系統(tǒng)需要每年都做測(cè)評(píng)，也覺得麻煩。所以想著系統(tǒng)定個(gè)二級(jí)就可以了，自己省事。

答：首先系統(tǒng)到底定幾級(jí)是根據(jù)受侵害的客體以及對(duì)客體侵害的程度來(lái)確定的，是以事實(shí)為根據(jù)，而不是拍腦袋決定的。系統(tǒng)等級(jí)定低了，乍一看可能工作上是容易做了，但是反而是我們沒有落實(shí)好網(wǎng)絡(luò)安全保護(hù)義務(wù)的直接表現(xiàn)，系統(tǒng)等級(jí)低了相應(yīng)的安全防護(hù)要求也低了，那么萬(wàn)一你的系統(tǒng)不小心被攻擊破壞造成一定不良影響，在主管部門進(jìn)行責(zé)任認(rèn)定追查時(shí)，很有可能就會(huì)因?yàn)橄到y(tǒng)定級(jí)不合理，安全責(zé)任沒有履行到位而被處罰。得不償失，還是安安穩(wěn)穩(wěn)把自己該做的工作做好。

擴(kuò)展：系統(tǒng)定級(jí)按照等保1.0的要求是自主定級(jí)，有主管部門的需要主管部門審核，最終報(bào)送公安機(jī)關(guān)進(jìn)行審核。所以定級(jí)并不是想定幾級(jí)就定幾級(jí)的。2019年發(fā)布的等保2.0里定級(jí)流程新增了“專家評(píng)審”和“主管部門審核”兩個(gè)環(huán)節(jié)，定級(jí)過程變得更加規(guī)范，定級(jí)也更加準(zhǔn)確。

4、系統(tǒng)定完級(jí)就有人來(lái)管了

背景：一些客戶會(huì)覺得系統(tǒng)定了級(jí)以后相關(guān)主管單位就會(huì)不時(shí)地來(lái)安全檢查了，給自己的工作增加了麻煩，被人管的感覺很不好。

答：所有非涉密系統(tǒng)都屬于等級(jí)保護(hù)范疇，沒有定級(jí)不代表不需要被監(jiān)管，相反如果沒有被納入監(jiān)管，反而會(huì)比較危險(xiǎn)，哪天出了事就比較難收拾殘局。定級(jí)后或者被監(jiān)管，主管單位會(huì)在重點(diǎn)時(shí)刻對(duì)我們的重要信息系統(tǒng)進(jìn)行一定掃描及保護(hù)，會(huì)及時(shí)告知發(fā)現(xiàn)的一些問題，避免發(fā)生網(wǎng)絡(luò)安全攻擊事件；同時(shí)一些重要的政策要求或者行業(yè)會(huì)議，也會(huì)通知你們過來(lái)參會(huì)，方便大家及時(shí)了解最新的網(wǎng)絡(luò)安全形勢(shì)，有利于大家開展好網(wǎng)絡(luò)安全工作。

擴(kuò)展：做了等保后，主管單位并不一定會(huì)對(duì)你們單位做相關(guān)安全檢查，單位很多，重要的系統(tǒng)很多，主管單位也有自己的一些統(tǒng)一安排，到底會(huì)不會(huì)對(duì)你們檢查取決于很多因素，但是一般單位可以不需要有這些顧慮。來(lái)檢查是好事，可以及時(shí)發(fā)現(xiàn)問題，督促指導(dǎo)大家開展好網(wǎng)絡(luò)安全工作。

5、等級(jí)保護(hù)工作就是做個(gè)測(cè)評(píng)就可以？

背景：一些人以為等級(jí)保護(hù)工作主要就是對(duì)系統(tǒng)進(jìn)行定級(jí)備案，然后做個(gè)測(cè)評(píng)就可以了。

答：等級(jí)保護(hù)工作不僅是一個(gè)測(cè)評(píng)而是包含：定級(jí)、備案、測(cè)評(píng)、建設(shè)整改和監(jiān)督審查五項(xiàng)內(nèi)容，測(cè)評(píng)只是其中一項(xiàng)。

擴(kuò)展：測(cè)評(píng)只是開始，更重要的是我們通過測(cè)評(píng)尋找出差距，分析出目前我們的系統(tǒng)存在的風(fēng)險(xiǎn)，及時(shí)查漏補(bǔ)缺，進(jìn)行安全建設(shè)整改，提高信息系統(tǒng)的安全防護(hù)能力，降低系統(tǒng)受到攻擊破壞的概率。

6、等保測(cè)評(píng)做過一次就可以了，以后隨便做不做？

背景：一些客戶以為等保測(cè)評(píng)只要做過一次就行了，以后就不用做了。把等保工作當(dāng)成一個(gè)形式當(dāng)成應(yīng)付工程去做。

答：等保工作是一個(gè)持續(xù)的工作，等保測(cè)評(píng)也是一個(gè)周期性的工作，三級(jí)系統(tǒng)要求每年做一次，四級(jí)系統(tǒng)每半年做一次，二級(jí)系統(tǒng)部分行業(yè)明確要求每?jī)赡曜鲆淮?，沒有明確要求的行業(yè)建議大家兩年做一次測(cè)評(píng)。

擴(kuò)展：做等保測(cè)評(píng)不應(yīng)當(dāng)抱著應(yīng)付的心態(tài)去做，如果大家的系統(tǒng)真能按照等級(jí)保護(hù)的要求去做好，那么你的系統(tǒng)安全防護(hù)水平還是很高的。做了等保，一方面是合規(guī)，更多的是切切實(shí)實(shí)協(xié)助我們做好單位的網(wǎng)絡(luò)安全工作。

7、不做等保沒關(guān)系，只要不出事就行？

背景：一些用戶以為做不做等保不要緊，關(guān)揵的是不要出網(wǎng)絡(luò)安全事件，只要不出事都沒問題。

答：《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第二十一條 國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求，履行下列安全保護(hù)義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改：（五）法律、行政法規(guī)規(guī)定的其他義務(wù)。不做等保就屬于第五個(gè)行為，國(guó)內(nèi)目前已經(jīng)有公開報(bào)道的因沒有落實(shí)等級(jí)保護(hù)制度而被處罰的真實(shí)案例。所以等保及時(shí)去做，不要等。

擴(kuò)展：網(wǎng)絡(luò)安全技術(shù)發(fā)展日新月異，什么叫安全？買什么產(chǎn)品做什么服務(wù)就能安全？絕對(duì)的安全是不可能的，我們不能百分百保證我們的系統(tǒng)是安全的，但是我們得把我們能做的工作及時(shí)做到位，該做的工作做到了，自然也就相對(duì)安全了。

8、系統(tǒng)在內(nèi)網(wǎng)，就不需要做等保了？

背景：不少用戶的系統(tǒng)都在單位內(nèi)網(wǎng)或者專網(wǎng)中，覺得系統(tǒng)不對(duì)外相對(duì)安全，所以就可以不做等保了。

答：首先所有非涉密系統(tǒng)都屬于等級(jí)保護(hù)范疇，和系統(tǒng)在外網(wǎng)還是內(nèi)網(wǎng)沒有關(guān)系；其次在內(nèi)網(wǎng)的系統(tǒng)往往其網(wǎng)絡(luò)安全技術(shù)措施做的并不好，甚至不少系統(tǒng)已經(jīng)中毒不淺。所以不論系統(tǒng)在內(nèi)網(wǎng)還是外網(wǎng)都得及時(shí)開展等保工作。

擴(kuò)展：內(nèi)網(wǎng)不代表安全，而且現(xiàn)在純粹的物理內(nèi)網(wǎng)很少了，大部分或多或少都與互聯(lián)網(wǎng)有些連接。內(nèi)網(wǎng)一旦中毒，擴(kuò)散很快，而且很難清除，因?yàn)楹芏嗉夹g(shù)措施都沒有，幾乎在裸奔狀態(tài)，一旦中毒很容易就垮了。

9、給我們單位整體做一個(gè)等保測(cè)評(píng)？

背景：一些用戶或者同行搞不清等保到底是個(gè)什么情況，以為是按照整個(gè)單位去做，天真地認(rèn)為一個(gè)單位做一個(gè)等保測(cè)評(píng)就可以。

答：等保測(cè)評(píng)是按照信息系統(tǒng)來(lái)的，以一個(gè)信息系統(tǒng)為測(cè)評(píng)整體，并不是按照一個(gè)單位去做的。

擴(kuò)展：一個(gè)完整的信息系統(tǒng)包括承載其的物理機(jī)房、服務(wù)器、主機(jī)、應(yīng)用、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備及安全設(shè)備等，測(cè)評(píng)除了這些具體的實(shí)體對(duì)象，還包括相對(duì)應(yīng)的安全管理制度。

10、等保測(cè)評(píng)做完就得花很多錢去整改？

背景：一些客戶有疑慮：測(cè)評(píng)是沒有多少錢，但是測(cè)評(píng)后需要進(jìn)行安全建設(shè)整改，需要花很多錢。

答：整改花多少錢取決于你的信息系統(tǒng)等級(jí)、系統(tǒng)現(xiàn)有的安全防護(hù)措施狀況以及網(wǎng)絡(luò)運(yùn)營(yíng)者對(duì)測(cè)評(píng)分?jǐn)?shù)的期望值，不一定要花很多錢甚至不花錢。

擴(kuò)展：整改的內(nèi)容大體分為：安全制度完善、安全加固等安全服務(wù)以及安全設(shè)備的添置。在安全制度及安全加固上網(wǎng)絡(luò)運(yùn)營(yíng)者自己可以做很多整改工作或者委托系統(tǒng)集成方進(jìn)行加固，往往這是不需要額外付費(fèi)的或者是包含在你和系統(tǒng)集成方合同約定中的，這兩塊內(nèi)容整改好，加上你有一定的安全技術(shù)措施，基本上是可以達(dá)到基本符合的結(jié)論的。所以花多少錢看你怎么去做或者你的期望值是多少。