從2019年12月1日至今，網絡信息安全風險等級進行保護2.0（以下簡稱“等保2.0）主要技術标準已執行了8個多月。不少研究機構對于企業可以按照等保2.0相應發展要求，陸續通過開展了安全文化建設、等級測評、安全管理整改等，但也有對等保2.0仍不夠了解，甚至還産生了中國很多學生誤解。本文設計主要針對等保2.0工作中的一些比較常見誤區進行了一個總結與分析，以供參考。

誤區1：認為等保護2.0是去年推翻等保護1.0，發布2.0相關标準後，很多企業反映：自己之前的系統是基于等保護1.0标準建設的，擔心不能滿足等保護2.0的要求。 事實上，等保20并沒有推翻等保1.0标準，而是對原标準的延伸和優化。 原則上，如果不存在高風險，系統可以滿足等保2.0的基本要求。

誤解2: 等級保護2.0隻是一個特定的标準。 平等擔保2.0不是一個标準，而是一系列标準與法律法規共同構成的擔保體系。

2017年6月1日生效的“網絡安全法”的實施，它标志着保護水平進入2.0時代。自2019年12月1日執行等保險2.0相關的“信息安全技術的網絡安全防護的基本要求”，“信息安全保護網絡安全評價技術要求”，“網絡安全的信息安全技術水平的安全保護設計要求”隻是2.0引進保險等，幾個重要的标準更新。在此之前，在這之後，分别已經或将發行更多的保險等相關領域2.0标準和管理制度。

誤區3：認為“安全風險管理研究中心”就是買産品“安全教育管理服務中心本項主要内容包括信息系統資源管理、審計質量管理、安全生産管理和集中管控四個控制點，集中管控則是重中之重。集中管控偏向日常生活安全運維，主要問題包括數據集中學生管理工作區域、策略分析管理、漏洞管理、日志管理、安全環境事件相關管理。這些放到一起，聽起來感覺自己就是SOC，但官方表示并非建議廠商去推SOC平台，其中發展要求的每一項能做到獨立集中管控即可（當然能全部集中管控更好）。

“安全信息管理中心”應采取它的意義，它的形狀，不能機械地判斷是否“安全管理中心的平台。”信息安全不僅僅是一個設備的堆疊，通常重要的是如何操作和維護，如何有效管理各種設備。

誤區4：認為網絡信息管理系統上雲就安全等保2.0主要技術标準進行執行工作之後，很多小型企業發展偏向于把系統研究部署在一些公有雲平台。在他們看來，這些公有雲平台已滿足等保要求，所以我們自己部署在上面的分析系統也默認滿足設計要求。

然而，各種雲平台隻在平台上提供虛拟服務器和簡單的安全措施。 如果不購買這些公有雲安全服務，或者不通過第三方安全産品，服務進行安全防護，實際上不能滿足同等防護的要求。 這就像一座非常安全的建築，它自己的房間沒有鎖，很可能會被入侵破壞。

誤區5: 認為系統在線評分隻能為記錄，一些企業認為隻有系統在線後才能去評分為記錄。 事實上，根據網絡安全等級保護的三個同步原則: 同步規劃、同步施工、同步使用，《網絡安全等級保護基本要求 》标準《第一控制點的安全施工管理指第一“分級歸檔” ，分級歸檔應一起完成。 第二個控制點是“安全方案設計” ，要求“安全方案設計應根據被保護對象的安全防護水平進行”。 根據規範要求，應在建設初期對系統進行分級備案，然後按照相應的規劃和建設标準進行分級。 如果我們等待建築工程完成後才重新評級，我們可能因為評級不準确或在建築工程開始時沒有按照相應的評級要求執行安全措施，而無法通過跟進評估。

原因分析了，那等保的意義也就有了：

一降低信息安全風險，提高信息系統的安全性的能力;

二、滿足國家相關法律法規和制度的要求；

三、滿足相關主管單位和行業要求；

四、合理地進行規避或降低企業風險。

哪些行業需要評估：

政府機構：各大部委，省政府，市委，市政府圍繞機構，各業務單位;

金融行業：金融監管機構、各大銀行、證券、保險公司等電信行業：各大電信運營商、各省電信公司、各地市電信公司、各類電信服務商等；

能源管理行業：電力企業公司、石油有限公司、煙草公司；

業務部門：大中型企業，中央企業，上市公司;

其它有信息管理系統進行定級需求的行業與單位。

證書案例

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!