不是所有的信息化系统都需要通过安全等保
网络安全等级保护要求的出台的目的不是为了关注多数企业自己使用的信息系统,而更多的是关注那些遭到破坏后会对国家安全、社会秩序、公共利益、及公民或其它组织的合法权益遭到危害的、有显著外部性的信息系统、网络、云平台等。只有那些对企业以外的人或组织提供服务、且受破坏后有显著的外部不良影响或后果的系统才必须通过网络安全等级保护。
通过安全等保的认证并不减少你的安全责任
《网络安全法》的实施,给公共系统或网络的运营组织增加了安全的责任和义务,其中包括依法针对有显著外部性的信息系统等通过网络安全等保。如果不依然进行网络等保,可能会面临停业整改、罚款甚至刑事责任。
但通过安全等保认证,并不意味着我们的系统已经安全。它只是说明我们的系统的安全防护能力处于某种等级之上。我们依然需要落实好信息安全管理制度和流程,做好安全监控,避免系统漏洞,及时升级安全补丁,定时审计安全日志,实时响应安全事件等等。这才是确保系统安全的日常行为和措施。
另外,一旦安全事件发生,安全等保的通过不会减轻你的安全责任。你依然需要赔付外部客户相关损失、及时恢复数据或承担数据丢失的后果的、等等。
等保级别并非越高越好
等保级别分为一级到五级,更高的等保级别意味着更高的安全防护能力。但等保级别并非越高越好。这是因为:1)更高的等保级别需要更强的物理隔离及防护,更强的安全认证。这意味着系统的部分易用性和便利性的牺牲。事实上,多数的常见的系统的安全等保级别一般为三级,四级和五级很少使用。2)更高的等级意味着更高的成本。这里成本包括通过认证需要增加的硬件及软件整改的成本、不同等保级别要求的不同的日常管理和运维工作的成本、认证周期性检查的成本。比如,二级等保每两年一次,三级等保则每年一次。
基于上述认知,企业的安全等保策略应该是:1)只选择必要的、有显著外部性的系统进行等保认证;2)基于影响程度,合理定级;3)做好信息系统的安全管理,不要因为通过等保就放松安全相关的工作;4)信息系统及网络等基础设施建设时合理规划安全相关的功能。
优网科技秉承"专业团队、品质服务" 的经营理念,诚信务实的服务了近万家客户,成为众多世界500强、集团和上市公司的长期合作伙伴!
优网科技成立于2001年,擅长网站建设、网站与各类业务系统深度整合,致力于提供完善的企业互联网解决方案。优网科技提供PC端网站建设(品牌展示型、官方门户型、营销商务型、电子商务型、信息门户型、微信小程序定制开发、移动端应用(手机站、APP开发)、微信定制开发(微信官网、微信商城、企业微信)等一系列互联网应用服务。
公安局备案号:
专属顾问
