大白話談?wù)劄槭裁匆龅缺y(cè)評(píng)

 其實(shí)很多用戶單位不明白到底應(yīng)該不應(yīng)該做網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)，今天我們就簡(jiǎn)單的來(lái)說(shuō)說(shuō)吧。

首先下面的幾個(gè)原因先看下：

第一，   網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)是為了發(fā)現(xiàn)用戶單位系統(tǒng)內(nèi)、外部存在的安全網(wǎng)險(xiǎn)和脆弱性，通過(guò)整改后，提高信息系統(tǒng)的信息安全防護(hù)能力，降低系統(tǒng)被各種攻擊的風(fēng)險(xiǎn)。一般用戶單位內(nèi)部系統(tǒng)較多，用途不一樣，受眾群體和使用用戶也不一樣，那我們就需要通過(guò)等級(jí)保護(hù)測(cè)評(píng)去梳理分析我們現(xiàn)有的信息系統(tǒng)，將不同系統(tǒng)分不同重要等級(jí)進(jìn)行分等級(jí)保護(hù)，這就是等保測(cè)評(píng)的定級(jí)工作。

第二，   等級(jí)保護(hù)是我國(guó)關(guān)于信息安全的基礎(chǔ)政策，《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》（中辦發(fā)[2003]27號(hào)，以下簡(jiǎn)稱“27號(hào)文件”）明確要求我國(guó)信息安全保障工作實(shí)行等級(jí)保護(hù)制度提出“抓緊建立信息安全等級(jí)保護(hù)制度，制定信息安全等級(jí)保護(hù)的管理辦法和技術(shù)指南”。2007年6月發(fā)布的關(guān)于印發(fā)《信息安全等級(jí)保護(hù)管理辦法》的通知（公通字[2007]43號(hào)，以下簡(jiǎn)稱“43號(hào)文件”）規(guī)定了實(shí)施信息安全等級(jí)保護(hù)工作的操作辦法。

2016年11月7日第十二屆全國(guó)人民代表大會(huì)常務(wù)委員會(huì)第二十四次會(huì)議通過(guò)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》，網(wǎng)絡(luò)安全法第二十一條明確規(guī)定：國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求，履行下列安全保護(hù)義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問(wèn)，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。

簡(jiǎn)單總結(jié)下就是國(guó)家法律法規(guī)、相關(guān)政策制度要求我們?nèi)フ归_(kāi)等級(jí)保護(hù)級(jí)測(cè)評(píng)工作，不做就不合規(guī)，就違法。

第三，   很多行業(yè)主管單位要求行業(yè)客戶開(kāi)展等級(jí)保護(hù)工作，目前已經(jīng)下發(fā)行業(yè)要求文件的有：金融、電力、廣電、醫(yī)療、教育、物流等行業(yè)，還有一些主管單位發(fā)過(guò)相關(guān)文件或通知要求去做。另外信息安全主管單位要求我們?nèi)ラ_(kāi)展等級(jí)保護(hù)工作，主要有:公安、網(wǎng)信辦、經(jīng)信委、通管局等行業(yè)主管單位。

   所以不做等保的話，沒(méi)法向相關(guān)主管單位和行業(yè)領(lǐng)導(dǎo)們交待。

第四，    合理地規(guī)避風(fēng)險(xiǎn)。每年都會(huì)出現(xiàn)一些大的信息安全事件，我們?nèi)粘＝?jīng)常聽(tīng)到或看到的有，某某網(wǎng)站網(wǎng)頁(yè)被篡改了，用戶敏感信息被泄露了，更多的一些小范圍安全事件我們清楚，但是在發(fā)生。那么發(fā)生比較大的安全事件，首先主管的單位們要去現(xiàn)場(chǎng)調(diào)查，首先就會(huì)看我們到底有沒(méi)有開(kāi)展等級(jí)保護(hù)工作，那么如果你沒(méi)有，最直接的一個(gè)結(jié)論就是你的信息安全工作沒(méi)有開(kāi)展好，沒(méi)有開(kāi)展到位，國(guó)家最基本的信息安全等級(jí)保護(hù)工作都沒(méi)做，你說(shuō)你買(mǎi)了很多防火墻，很多安全設(shè)備，那都是說(shuō)不清道不明的，不如你實(shí)實(shí)在在拿出備案證明，拿出測(cè)評(píng)報(bào)告說(shuō)服力強(qiáng)。出了問(wèn)題難免就會(huì)被通報(bào)批評(píng)，被勒令下線整改，那么開(kāi)展了等級(jí)保護(hù)測(cè)評(píng)工作和沒(méi)有開(kāi)展等級(jí)保護(hù)測(cè)評(píng)工作被通報(bào)的內(nèi)容就顯然不同了，即“有證駕駛和無(wú)證駕駛”的區(qū)別。最簡(jiǎn)單的例子：一個(gè)主觀上重視安全工作但是因?yàn)榧夹g(shù)還不夠好而被攻擊造成的破壞和一個(gè)主觀上都不重視安全工作被攻擊造成破壞的情況，孰輕孰重，一目了然。但是怎么叫主觀上重視呢？等保測(cè)評(píng)工作有沒(méi)有開(kāi)展就是衡量的一個(gè)重要標(biāo)準(zhǔn)，因?yàn)榈燃?jí)保護(hù)測(cè)評(píng)是國(guó)家基本信息安全制度要求。

原因分析了，那等保測(cè)評(píng)的意義也就有了：

一、     降低信息安全風(fēng)險(xiǎn)，提高信息系統(tǒng)的安全防護(hù)能力（實(shí)質(zhì)）;

二、     滿足國(guó)家相關(guān)法律法規(guī)和制度的要求（合規(guī)）;

三、     滿足相關(guān)主管單位和行業(yè)要求（合規(guī)）;

四、     合理地規(guī)避或降低風(fēng)險(xiǎn)（備案證明）。

習(xí)主席多次強(qiáng)調(diào)：要加大對(duì)維護(hù)國(guó)家安全所需的物質(zhì)、技術(shù)、裝備、人才、法律、機(jī)制等保障方面能力建設(shè)，更好適應(yīng)國(guó)家安全工作需要。意見(jiàn)在國(guó)家安全工作上要加大投入，那網(wǎng)絡(luò)安全是國(guó)家安全的一部分，也是應(yīng)當(dāng)加大投入的。等級(jí)保護(hù)測(cè)評(píng)又是國(guó)家信息安全的基本制度，下次我們?cè)偕暾?qǐng)等級(jí)保護(hù)工作經(jīng)費(fèi)，領(lǐng)導(dǎo)不批，就直接把這篇文章發(fā)給他好了：自己看，別說(shuō)我沒(méi)告訴你，出了事，可不是我的責(zé)任哦。

最后等級(jí)保護(hù)測(cè)評(píng)已經(jīng)成了一個(gè)必須硬性標(biāo)準(zhǔn)了，而且網(wǎng)絡(luò)安全法也在不斷完善，如果用戶單位有實(shí)力能早做等保測(cè)試的盡量早早就開(kāi)始做。