從2019年12月1日至今，網絡安全等級保護2.0（以下簡稱“等保2.0”）主要標準已執行了8個多月。不少機構企業按照等保2.0相應要求，陸續開展了安全建設、等級測評、安全整改等，但也有對等保2.0仍不夠了解，甚至還產生了很多誤解。中國金融認證中心（CFCA）這里主要針對等保2.0工作中的一些常見誤區進行了總結與分析，以供參考。

誤區一：認為等保2.0就是推翻了等保1.0

去年，等保2.0相關標準發布后，很多企業反映：自己的系統之前是依據等保1.0標準進行建設的，擔心無法滿足等保2.0要求。其實，等保2.0并不是推翻了等保1.0標準，而是原標準的延伸與優化。原則上講，之前通過等保1.0測評的系統，若沒有高風險，也可滿足等保2.0的基本要求。

誤區二：認為等保2.0只是某一個標準

等保2.0并不是一個標準，而是一系列標準與法律法規共同構成的安全體系。

2017年6月1日《網絡安全法》的生效實施，已標志著等級保護進入2.0時代。2019年12月1日起執行的等保2.0相關的《信息安全技術 網絡安全等級保護基本要求》《信息安全技術 網絡安全等級保護測評要求》《信息安全技術 網絡安全等級保護安全設計技術要求》，只是為了配合等保2.0出臺、更新的幾個重要標準。而在這之前、這之后，分別已經或將要頒發更多等保2.0領域的相關標準與管理制度。

誤區三：認為“安全管理中心”就是買產品

“安全管理中心”本項主要包括系統管理、審計管理、安全管理和集中管控四個控制點，集中管控則是重中之重。集中管控偏向日常安全運維，主要包括集中管理區域、策略管理、漏洞管理、日志管理、安全事件管理。這些放到一起，聽起來感覺就是SOC，但官方表示并非建議廠商去推SOC平臺，其中要求的每一項能做到獨立集中管控即可（當然能全部集中管控更好）。

“安全管理中心”應該取其意、去其形，不能機械地判斷為有無“安管中心平臺”。信息安全不僅僅是設備的堆疊，重要的還是平時如何去運維，如何對各種設備進行有效管理。

誤區四：認為信息系統上云就安全

等保2.0主要標準執行之后，很多小型企業偏向于把系統部署在一些公有云平臺。在他們看來，這些公有云平臺已滿足等保要求，所以自己部署在上面的系統也默認滿足要求。

殊不知，各類云平臺只提供平臺上的虛擬服務器和簡單的安全措施，安全責任主體單位仍有必要按等保要求落實相應的安全工作。如果不購買這些公有云的安全服務，或者不通過第三方安全產品、服務進行安全防護，實際上是無法滿足等保要求的。這就好比一棟非常安全的大廈，自己的那個房間沒有鎖，一樣有可能被入侵破壞。

誤區五：認為系統上線之后才能定級備案

有些企業認為，只有在系統上線之后才能去定級備案。其實不然，根據網絡安全等級保護三同步原則：同步規劃、同步建設、同步使用，《網絡安全等級保護基本要求GBT22239-2019》標準中“安全建設管理”的第一個控制點首先就提到了“定級和備案”，定級和備案應該合在一起完成。第二個控制點“安全方案設計”要求“應根據保護對象的安全保護等級進行安全方案設計”。根據監管要求，在系統的建設之初就應該進行定級備案，然后按照相應等級標準進行規劃建設。如果等到建設完成再定級反而有可能因定級不準確，或建設之初沒有按照相應等級要求落實安全措施，造成后續測評不通過的情況。

CFCA具有國家網絡安全等級保護工作協調小組辦公室頒發的“網絡安全等級保護測評機構推薦證書”，可為您提供等保一站式服務解決方案，落實監管部門的安全要求。

責任編輯：韓希宇