1、雲系統到(dào)哪裡(lǐ)進行(xíng)系統定級備案?
背景:雲系統由于部署在各類雲平台上(shàng)面,而雲平台的(de)實際物(w÷&≈↓ù)理(lǐ)地(dì)址往往和(hé)雲系統網絡運營≥>者不(bù)在同一(yī)地(dì)址,大(dà)型雲平台還(h ™₽ái)有(yǒu)許多(duō)物(wù)理(π∞♣♥lǐ)節點,很(hěn)難确定雲平台的(de)具體(tǐ)物(wù)理(lǐ)地(dδ™∑≤ì)址,那(nà)麽這(zhè)種情況下(xià)雲系統到(dào)底到(d•↕ào)雲平台所在注冊地(dì)址進行(xíng)系統備案,還(hái)是(sh♣λ'•ì)到(dào)自(zì)己所在注冊地(dì)址進行(xíng)備案,如(rα÷"ú)果自(zì)己的(de)運維團隊和(hé)注冊經營地★∑(dì)址不(bù)一(yī)緻怎麽辦?到(dào)底去(qù)哪裡↔>(lǐ)備案?不(bù)少(shǎo)人(rén)以♣α為(wèi)是(shì)到(dào)注冊經營地(dì)進行(xíng)備案。
答(dá):雲系統應當在系統實際運維團隊所在地(dì)市(shì'γΩ)網安部門(mén)進行(xíng)系統備案,因為(wè∏δ× i)這(zhè)樣方便屬地(dì)公安對(duì)系統進行☆ (xíng)監管。
擴展:在雲計(jì)算(suàn)環境中,應将雲服務方側的(de)雲計(j÷πΩ∑ì)算(suàn)平台單獨作(zuò)為(♥ ♠wèi)定級對(duì)象定級,雲租戶側的(de)等級保護♠σ對(duì)象也(yě)應作(zuò)為(wèi)單獨的(de)定 ₽♣→級對(duì)象定級。
2、我的(de)系統已經上(shàng)雲或者系統φ托管到(dào)其他(tā)地(dì)方,系統就(jiù)不&'(bù)歸我管了(le),就(jiù)不(bù)用(yòng)π≈σ做(zuò)等保了(le)?
背景:系統上(shàng)雲的(de)情況越來(lái)越多(duō),不(bù)論是₩✘(shì)公有(yǒu)雲(阿裡(lǐ)雲、£≤♥騰訊雲、亞馬遜雲等)還(hái)是(shì)各類私有(yǒu)雲(政務♥♥✘★雲、內(nèi)部雲平台等)或者就(jiù)是(shì)直接托管到(dào)IDC機(jī)房(fáng),一(yī)些(xα×πiē)客戶認為(wèi)系統已經不(bù)在自(zì)己機(jī)房(©♠ fáng)了(le),所以系統的(de)×€→相(xiàng)應安全運維就(jiù)不(bù)歸自(zì)己管了(le₩∑β),自(zì)然等保工(gōng)作(zuò)就(jiù)不(bù)需要(yào¶λ←)做(zuò)了(le)。
答(dá):根據“誰運營誰負責,誰使用(yòng)誰負責,≠←誰主管誰負責”的(de)原則,該系統責任主體(tǐ)還(hái)是(shì)屬于¥ ✘網絡運營者自(zì)己,所以還(hái)是(shì)得(de)承擔相(xiàng)應的(de)網絡>£安全責任,該進行(xíng)系統定級的(d•±e)還(hái)是(shì)得(de)定級,該做(zuò)等保的(de)¥§₽還(hái)是(shì)得(de)做(zuò)等保。
擴展:系統上(shàng)雲或托管後,并不(bù)是(shì)安全責任主體(tǐ)轉移,隻是(shì≤¶•♣)系統所在機(jī)房(fáng)地(dì)址的(de)變更,當然在公有(yǒu)雲模式下(x≤✔ià),Iaas、Paas、Saas不(bù)同模式相(xiàng)應的(de)安全責任會(huì)有(yǒu)些(α÷®xiē)區(qū)别,但(dàn)是(shì)并不(bù)是(shε¶ ì)沒有(yǒu)責任。
3、系統定級越低(dī)越好(hǎo)?
背景:一(yī)些(xiē)客戶擔心系統定級定高(gāo)了(leΩ )後期給自(zì)己工(gōng)作(zuò)增加麻煩,一(yī)方面等級高(gāo)αβ'了(le),技(jì)術(shù)要(yà&φo)求高(gāo)了(le),需要(yào)做(z©←±uò)的(de)工(gōng)作(zuò)多(duō)了↔α™©(le);另一(yī)方面三級系統需要(yào)每年(nián)都(γ&dōu)做(zuò)測評,也(yě)覺得(de)麻煩。所以想著(zhe)系統定個(gè)二級就(j₽€iù)可(kě)以了(le),自(zì)己省事(shì)。
答(dá):首先系統到(dào)底定幾級是(shì)根據受侵害的(de)客體(tǐ☆>)以及對(duì)客體(tǐ)侵害的(de)程度來(lái)确定的(de)♠₩↔,是(shì)以事(shì)實為(wèi)根據,而不(bù)是∏₩(shì)拍(pāi)腦(nǎo)袋決定©©"₽的(de)。系統等級定低(dī)了(le),乍一(yī)看(kàn)∞㧀可(kě)能(néng)工(gōng)作(zuò)上β©λ↕(shàng)是(shì)容易做(zuò)了(le),但(dàn)是(shì)反ε 而是(shì)我們沒有(yǒu)落實好(hǎo)網φσγ絡安全保護義務的(de)直接表現(xiàn),系統等級低δ♥(dī)了(le)相(xiàng)應的(de)安全防護要(yào)求也(yě)低(dī)了(β§✘§le),那(nà)麽萬一(yī)你(nǐ)的(de)系統不(✘→♣bù)小(xiǎo)心被攻擊破壞造成一(yī)定不(bù)良影(yǐng)響,在主管部₹≈ 門(mén)進行(xíng)責任認定追查時(shí),很(hěn)有(yǒu)可(kě)能(×®→λnéng)就(jiù)會(huì)因為(wèi)系統定級不(bù)合理(l∞ ∏γǐ),安全責任沒有(yǒu)履行(xíng)到(dào)位而被處罰。得♥¶×(de)不(bù)償失,還(hái)是(shì)安安穩穩把自∑ (zì)己該做(zuò)的(de)工(gōng)作(zuò)做(zuò)好(δ∏¶hǎo)。
擴展:系統定級按照(zhào)等保1.0的(de)要(yào)求是(shì)自(zì)主定級,有(yǒu)≈♥主管部門(mén)的(de)需要(yào)主管部≥ε門(mén)審核,最終報(bào)送公安機(jī)關進∞♣←™行(xíng)審核。所以定級并不(bù)是(shì)想定幾©±級就(jiù)定幾級的(de)。預計(jì)今年(nián> )會(huì)發布的(de)等保2.0裡(lǐ)定級流程新增了(le)“專家(jiā)評審”和(hé)“主管部門(mén)審核”兩個(gè)環節,這(zhè)樣定級過程将會(huì)變得(de)更加規範,定級也 ≥₹(yě)會(huì)更加準确。
4、系統定完級就(jiù)有(yǒu)人(ré<n)來(lái)管了(le)
背景:一(yī)些(xiē)客戶會(huì)覺得(d₽"Ωe)系統定了(le)級以後相(xiàng)關主管單位就(jiù)會(huì)不∞₽'Ω(bù)時(shí)地(dì)來(lái)安全檢查了(le),給自(zì)己的(de)工(gβφ πōng)作(zuò)增加了(le)麻煩,被人(rén)管的(de)₽✔£"感覺很(hěn)不(bù)好(hǎo)。
答(dá):所有(yǒu)非涉密系統都(dōu)屬于等♦←♥級保護範疇,沒有(yǒu)定級不(bù)代表不(bù)需要(yào)被監管,相(xiàng)反σ §如(rú)果沒有(yǒu)被納入監管,反而會(huì)比₩↓較危險,哪天出了(le)事(shì)就(jiù)比較難收拾殘局。定級後或者被監管,主管單位會(h•€ ₹uì)在重點時(shí)刻對(duì)我們的(de)重要(yào)信息系統進行•λ×(xíng)一(yī)定掃描及保護,會(huì)及時(s®φ¶φhí)告知(zhī)發現(xiàn)的(de)一(yī)些(≈λ xiē)問(wèn)題,避免發生(shēng)網絡安全攻擊事(shì)件(jiàn);׶ '同時(shí)一(yī)些(xiē)重要(yào)的(de)政策要(yào)求∑™₩或者行(xíng)業(yè)會(huì)議(yì),也(yě)會(huì)通(tōng↓↕>✔)知(zhī)你(nǐ)們過來(lái)參會(huì),方便大(dà)家∑ ¶(jiā)及時(shí)了(le)解最新的(de)網絡安全形勢,有(yǒu)利于大≤♦(dà)家(jiā)開(kāi)展好(hǎ☆→o)網絡安全工(gōng)作(zuò)。
擴展:做(zuò)了(le)等保後,主管單位并不(bù)一(yī)定會(huì)對(du ✘>§ì)你(nǐ)們單位做(zuò)相(xiàng)關安全檢查,單位很(hěn← €✔)多(duō),重要(yào)的(de)系統很 ≠(hěn)多(duō),主管單位也(yě)有(yǒu)自(zì)己的(de)一(yī)♠∏ 些(xiē)統一(yī)安排,到(dào)底會(huì)不(bù)會(huì)對(duì)你(nǐλγ§)們檢查取決于很(hěn)多(duō)因素,但(dàn)是(shì)一(yī)般單∏位可(kě)以不(bù)需要(yào)有(yǒu)這(zhè)些(xiē)顧慮≈☆ 。來(lái)檢查是(shì)好(hǎo)事(shì),可(kě)以及時(sh§σ₩í)發現(xiàn)問(wèn)題,督促指導大(dà)家(j↓♥φφiā)開(kāi)展好(hǎo)網絡安全工(gōng)作(zuò)。
5、等級保護工(gōng)作(zuò)就(jiù)是(shì)做(zuò)個(gè)測評≤±↔就(jiù)可(kě)以?
背景:一(yī)些(xiē)人(rén)以為(wèi)等級保護工(gōng)作₩÷§★(zuò)主要(yào)就(jiù)是(shì)對(duì)系統 €∑進行(xíng)定級備案,然後做(zuò)個(gè)測評就(jiù)可(kě)以了(le•★≥)。
答(dá):等級保護工(gōng)作(zuò)不(bù)僅是(shì)一(yī)個(gè) ≠¥測評而是(shì)包含:定級、備案、測評、建設整改和(hé)監督審查五項內(★ ¥nèi)容,測評隻是(shì)其中一(y σ ī)項。
擴展:測評隻是(shì)開(kāi)始,更重要(yào)的(de)是(shì)我們通(tōng)過測評尋☆♦✔≠找出差距,分(fēn)析出目前我們的(de)系統存在的(d&÷γe)風(fēng)險,及時(shí)查漏補缺,進行(xíng)安全∞Ω建設整改,提高(gāo)信息系統的(de)安全防護能(néng)力,降低(dī)系統受'¶到(dào)攻擊破壞的(de)概率。
來(lái)源:CSPEC
