等级维护四大常见误区

?

误区一：

一些客户经常问：我们做完等保测评之后，多久可以拿到证书？很多人把等保测评等同于安全认证。

《中华人民共和国网络安全法》中第二十一条明确规则：

由此可见，等保测评并非相当于ISO 20000系列的信息技能服务处理认证，也并非于ISO27000系列的信息安全处理体系认证。

《网络安全法》第二十一条规则

等级维护准则是国家信息安全处理的准则，是国家毅力的表现。执行等级维护准则为了国家法律法规的合规需求。

等级维护测评没有相应的证书，如何才干证明信息体系已经契合等级维护安全要求了呢？

现在这主要是由公安部授权委托的全国一百多家测评组织，对信息体系进行安全测评，测评通过后出具《等级维护测评陈述》，拿到了契合等保安全要求的测评陈述就证明该信息体系契合等级维护的安全要求。

误区二：

体系上云或者保管，在其他当地就不需做等保测评了。

现在，比较多的小型企业客户偏向于把体系布置在云渠道与IDC机房。这些云渠道、IDC机房一般都通过了等保测评。不过，根据“谁运营谁负责，谁运用谁负责，谁主管谁负责”的原则，体系职责主体依然还是归于网络运营者自己。

所以，还是得承担相应的网络安全职责，进行体系定级或开展等保测评作业。

布置在云渠道的体系还需求购买云渠道的安全服务或者第三方安全服务，布置在IDC机房的体系还需求购买相应的安全设备以满意等保安全要求。

误区三：

可根据自己的片面志愿来定级。

一些客户忧虑：体系定级定高了，后期给自己作业增加费事，一方面等级高了，技能要求高了，需求做的作业多了；另一方面，三级体系需求每年都做测评，也觉得费事。所以想着体系定个二级就可以了，自己省事。

? 现在的等级维护目标（信息体系）的安全级别分为五个等级：

? 一级为最低级别，五级为最高级别（五级为预留级别，市面上已定级的体系最高为4级）。

? 假如定了一级，不需求做等保测评，自主进行维护即可。定二级以上就需求进行等保测评。

体系级别的确定需求根据体系的重要性进行决定。假如定高了，有可能形成出资的糟蹋；定低了则有可能形成重要信息体系得不到应有的维护，应该谨慎定级。

等保1.0的要求是自主定级，有主管部分的需求主管部分审阅，最终报送公安机关进行审阅。

等保2.0之后定级流程新增了“专家评审”和“主管部分审阅”两个环节，这样定级进程将会变得愈加标准，定级也会愈加精确。

误区四：

不知道体系应该在哪里存案。

《信息安全等级维护处理办法》规则，等级维护的主体单位为信息体系的运营、运用单位。存案主体一般不会是开发商、体系集成商，而是最终的用户方。

现在有些单位的注册地跟运营地不一致，正常情况下需求去运营区域的网安部分处理存案手续。比方客户注册地在北京海淀区，运营部分在北京朝阳区，需求到北京朝阳区处理定级存案手续，当然，前提是北京朝阳区必须有正规工作地址。

有些单位的体系布置在云渠道，云渠道的实践物理地址往往和云体系网络运营者不在同一地址。而且，有些单位的运维团队和注册经营地址也不一致。这种情况下，云体系应当在体系实践运维团队地点地市网安部分进行体系存案，由于这样会方便属地公安对体系进行监管。

所以，大部分情况下，还是需求到体系的运维人员实践地点地进行定级存案。当然也有一些特别职业的要求，比方一些涉及到金融安全的职业，比方互联网金融体系、支付体系需求属地化处理，这些体系需求在注册地处理定级存案手续，以满意本地的监管要求。