等级测评并非网络安全认证
等级保护测评没有相应的证书。目前主要由公安部授权委托的测评机构,对信息系统进行安全测评并出具《等级保护测评报告》。
等保制度只是基本要求
企业通过落实等保安全要求,并严格执行各项安全管理的规章制度,基本能做到系统的安全稳定运行。但依然不能百分百保证系统的安全性。安全是一个动态而非静止的过程,不是通过一次测评,就可以一劳永逸的。
内网系统也需要做等级测评
《网络安全法》规定,等级保护的对象是在中华人民共和国境内建设、运营、维护和使用的网络与信息系统。因此,不管是内网还是外网系统,都需要符合等级保护安全的要求。
系统上云或者托管在其他地方就也需做等级测评
根据“谁运营谁负责,谁使用谁负责,谁主管谁负责”的原则,系统责任主体仍然还是属于网络运营者自己。因此,企业还是得承担相应的网络安全责任,该进行系统定级的还是得定级,该做等保的还是得做等保。
不可根据自己的主观意愿来定级
等保1.0的要求是自主定级,有主管部门的需要主管部门审核,终报送公安机关进行审核。
等保2.0之后定级流程新增了“专家评审”和“主管部门审核”两个环节,定级过程将会变得更加规范、准确。
系统备案场所
《信息安全等级保护管理办法》规定,等级保护的主体单位为信息系统的运营、使用单位。备案主体一般不会是开发商、系统集成商,而是终的用户方。
目前有些单位的注册地跟运营地不一致,正常情况下需要去运营地区的网安部门办理备案手续。