等級保護工作十大誤區（上）

1、云系統到哪里進行系統定級備案？

背景：云系統由于部署在各類云平臺上面，而云平臺的實際物理地址往往和云系統網絡運營者不在同一地址，大型云平臺還有許多物理節點，很難確定云平臺的具體物理地址，那么這種情況下云系統到底到云平臺所在注冊地址進行系統備案，還是到自己所在注冊地址進行備案，如果自己的運維團隊和注冊經營地址不一致怎么辦？到底去哪里備案？不少人以為是到注冊經營地進行備案。

答：云系統應當在系統實際運維團隊所在地市網安部門進行系統備案，因為這樣方便屬地公安對系統進行監管。

擴展：在云計算環境中，應將云服務方側的云計算平臺單獨作為定級對象定級，云租戶側的等級保護對象也應作為單獨的定級對象定級。

2、我的系統已經上云或者系統托管到其他地方，系統就不歸我管了，就不用做等保了？

背景：系統上云的情況越來越多，不論是公有云（阿里云、騰訊云、亞馬遜云等）還是各類私有云（政務云、內部云平臺等）或者就是直接托管到IDC機房，一些客戶認為系統已經不在自己機房了，所以系統的相應安全運維就不歸自己管了，自然等保工作就不需要做了。

答：根據“誰運營誰負責，誰使用誰負責，誰主管誰負責”的原則，該系統責任主體還是屬于網絡運營者自己，所以還是得承擔相應的網絡安全責任，該進行系統定級的還是得定級，該做等保的還是得做等保。

擴展：系統上云或托管后，并不是安全責任主體轉移，只是系統所在機房地址的變更，當然在公有云模式下，Iaas、Paas、Saas不同模式相應的安全責任會有些區別，但是并不是沒有責任。

3、系統定級越低越好？

背景：一些客戶擔心系統定級定高了后期給自己工作增加麻煩，一方面等級高了，技術要求高了，需要做的工作多了；另一方面三級系統需要每年都做測評，也覺得麻煩。所以想著系統定個二級就可以了，自己省事。

答：首先系統到底定幾級是根據受侵害的客體以及對客體侵害的程度來確定的，是以事實為根據，而不是拍腦袋決定的。系統等級定低了，乍一看可能工作上是容易做了，但是反而是我們沒有落實好網絡安全保護義務的直接表現，系統等級低了相應的安全防護要求也低了，那么萬一你的系統不小心被攻擊破壞造成一定不良影響，在主管部門進行責任認定追查時，很有可能就會因為系統定級不合理，安全責任沒有履行到位而被處罰。得不償失，還是安安穩穩把自己該做的工作做好。
擴展：系統定級按照等保1.0的要求是自主定級，有主管部門的需要主管部門審核，最終報送公安機關進行審核。所以定級并不是想定幾級就定幾級的。預計今年會發布的等保2.0里定級流程新增了“專家評審”和“主管部門審核”兩個環節，這樣定級過程將會變得更加規范，定級也會更加準確。

4、系統定完級就有人來管了
背景：一些客戶會覺得系統定了級以后相關主管單位就會不時地來安全檢查了，給自己的工作增加了麻煩，被人管的感覺很不好。
答：所有非涉密系統都屬于等級保護范疇，沒有定級不代表不需要被監管，相反如果沒有被納入監管，反而會比較危險，哪天出了事就比較難收拾殘局。定級后或者被監管，主管單位會在重點時刻對我們的重要信息系統進行一定掃描及保護，會及時告知發現的一些問題，避免發生網絡安全攻擊事件；同時一些重要的政策要求或者行業會議，也會通知你們過來參會，方便大家及時了解最新的網絡安全形勢，有利于大家開展好網絡安全工作。
擴展：做了等保后，主管單位并不一定會對你們單位做相關安全檢查，單位很多，重要的系統很多，主管單位也有自己的一些統一安排，到底會不會對你們檢查取決于很多因素，但是一般單位可以不需要有這些顧慮。來檢查是好事，可以及時發現問題，督促指導大家開展好網絡安全工作。

5、等級保護工作就是做個測評就可以？
背景：一些人以為等級保護工作主要就是對系統進行定級備案，然后做個測評就可以了。
答：等級保護工作不僅是一個測評而是包含：定級、備案、測評、建設整改和監督審查五項內容，測評只是其中一項。
擴展：測評只是開始，更重要的是我們通過測評尋找出差距，分析出目前我們的系統存在的風險，及時查漏補缺，進行安全建設整改，提高信息系統的安全防護能力，降低系統受到攻擊破壞的概率。