“……,經(jīng)過測(cè)評(píng)組認(rèn)真評(píng)定，你們的現(xiàn)狀沒有完全達(dá)到此次申請(qǐng)的信息系統(tǒng)安全三級(jí)等保標(biāo)準(zhǔn)要求，最后的結(jié)論是不能通過，請(qǐng)你們?cè)谡暮笤僦匦律暾?qǐng)測(cè)評(píng)……”

聽到安全等保測(cè)評(píng)組組長(zhǎng)的正式宣布，苗主任的頭嗡的一下，有些發(fā)蒙！怎么會(huì)這樣？不是說就是走個(gè)過場(chǎng)嗎？怎么這么嚴(yán)格，不就是流程不太規(guī)范，少了臺(tái)安全設(shè)備嗎？這慶功宴都安排好了，出個(gè)這樣的幺蛾子結(jié)果怎么向上級(jí)領(lǐng)導(dǎo)和辛苦準(zhǔn)備的同事們解釋呢？

也難怪苗主任要發(fā)急了，為了響應(yīng)行業(yè)合規(guī)要求，根據(jù)集團(tuán)公司的年度重點(diǎn)工作安排，苗主任牽頭負(fù)責(zé)信息系統(tǒng)安全等保的測(cè)評(píng)準(zhǔn)備與應(yīng)評(píng)工作，本來以為只要把評(píng)測(cè)費(fèi)交足了，也就是個(gè)走過場(chǎng)的事！所以也沒有找什么專業(yè)的輔導(dǎo)機(jī)構(gòu)，只是內(nèi)部組建了一個(gè)安全等保項(xiàng)目小組，大家突擊準(zhǔn)備了1個(gè)月。

看來還是自己大意了，術(shù)業(yè)有專攻，專業(yè)的人做專業(yè)的事，這個(gè)教訓(xùn)可是太大了，還是盡快搬救兵吧！

確實(shí)，隨著全社會(huì)對(duì)信息安全的重視越來越高，各類機(jī)構(gòu)對(duì)信息系統(tǒng)安全等保的測(cè)評(píng)需求也是水漲船高，那么，等保測(cè)評(píng)的通關(guān)密碼是什么呢？

先來說一說什么是信息安全等保？

信息安全等級(jí)保護(hù)是對(duì)信息和信息載體按照重要性等級(jí)分級(jí)別進(jìn)行保護(hù)的一種工作。在中國(guó)，信息安全等級(jí)保護(hù)廣義上為涉及到該工作的標(biāo)準(zhǔn)、產(chǎn)品、系統(tǒng)、信息等均依據(jù)等級(jí)保護(hù)思想的安全工作。狹義上一般指信息系統(tǒng)安全等級(jí)保護(hù)。

在中國(guó)，信息系統(tǒng)安全等級(jí)保護(hù)主要分五級(jí)，依據(jù)信息系統(tǒng)受到破壞后，是否會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成損害，是否損害國(guó)家安全、社會(huì)秩序和公共利益等情況，以及損害的嚴(yán)重程度，依次強(qiáng)化信息系統(tǒng)安全保護(hù)標(biāo)準(zhǔn)要求。其中一級(jí)最低，五級(jí)最高。

通常，這個(gè)工作需要由國(guó)家主管部門（注：一般指國(guó)家公安部及各地方公安局網(wǎng)監(jiān)部門）認(rèn)證授權(quán)的測(cè)評(píng)機(jī)構(gòu)才有權(quán)進(jìn)行，并出具評(píng)測(cè)結(jié)論，完成備案審批。

再來談一談為什么要進(jìn)行信息安全等保？

從實(shí)踐中的案例來看，申請(qǐng)信息安全等保的機(jī)構(gòu)主要有三方面的原因：為了證明自己的IT環(huán)境有安全保障、為了通過行業(yè)合規(guī)或上級(jí)主管部門的檢查、為了體現(xiàn)自己對(duì)信息安全的重視程度。

其中，第一類主要是指一些服務(wù)機(jī)構(gòu)，它們?yōu)榱俗尶蛻舴判氖褂米砸鸦贗T環(huán)境所提供的各類服務(wù)，證明客戶信息的安全，必須通過等保相應(yīng)級(jí)別的認(rèn)證，而且三級(jí)起步，要越高越好，這已成為市場(chǎng)競(jìng)爭(zhēng)要素之一。

第二類主要是指一些行業(yè)機(jī)構(gòu)，基于行業(yè)監(jiān)管要求，或者行業(yè)主管部門的特別指示，需要通過相應(yīng)級(jí)別的等保認(rèn)證，以便在年度檢查或評(píng)比中取得滿意的結(jié)果，一般以通過一、二、三級(jí)等保為主。

第三類則是指一些有潛力的機(jī)構(gòu)，雖沒有經(jīng)營(yíng)和行業(yè)監(jiān)管要求，但基于推廣自身品牌、形象、口碑等目的，或者僅僅是主要負(fù)責(zé)人的虛榮心，而想要通過相應(yīng)級(jí)別的等保認(rèn)證，這類一般都會(huì)以通過三級(jí)等保為目標(biāo)。

讓我們看一看要怎樣做才能順利通過信息安全等保呢？

通常的準(zhǔn)備與測(cè)評(píng)流程是這樣的：評(píng)估、備案、建設(shè)、預(yù)測(cè)評(píng)、加固、正式測(cè)評(píng)。其中前五步統(tǒng)稱為準(zhǔn)備階段，主要有三種準(zhǔn)備方式，即自己獨(dú)立準(zhǔn)備、請(qǐng)專業(yè)服務(wù)商輔導(dǎo)準(zhǔn)備、聯(lián)合準(zhǔn)備；最后一步才是評(píng)定階段，主要由經(jīng)國(guó)家行業(yè)主管部門認(rèn)證授權(quán)的測(cè)評(píng)機(jī)構(gòu)負(fù)責(zé)，如果一次測(cè)評(píng)沒有通過，需要整改后，再次測(cè)評(píng)，如此循環(huán)，直到通過為止。

由此可知，主要工作量在準(zhǔn)備階段，如果準(zhǔn)備工作做到位了，正式測(cè)評(píng)確實(shí)是可以順順利利的，也真成了“走過場(chǎng)”。這其中，評(píng)估是對(duì)現(xiàn)狀進(jìn)行摸底，看可以申請(qǐng)幾級(jí)等保，如果離預(yù)想的差距較大，則要么加大投入，要么降低預(yù)期；備案是根據(jù)評(píng)估的結(jié)果及權(quán)衡決策，確定最終的申請(qǐng)級(jí)別并向相關(guān)機(jī)構(gòu)備案申請(qǐng)；建設(shè)是指根據(jù)要申請(qǐng)的等保級(jí)別標(biāo)準(zhǔn)，進(jìn)行相應(yīng)的安全軟硬件采購(gòu)、安全流程設(shè)計(jì)、安全人員培訓(xùn)等；預(yù)測(cè)評(píng)是指完全按照等保級(jí)別標(biāo)準(zhǔn)，一項(xiàng)項(xiàng)進(jìn)行自評(píng)，找出差距；加固是指針對(duì)預(yù)測(cè)評(píng)找出的差距進(jìn)行調(diào)整，以符合要求。

需要特別提醒的是：等保測(cè)評(píng)只是信息安全工作的一個(gè)組成部分，如果以為通過等保測(cè)評(píng)了，尤其是通過較高級(jí)別的等保了，就實(shí)現(xiàn)信息安全了，這種想法是極為幼稚的！正確的態(tài)度是以等保測(cè)評(píng)工作為契機(jī)，全面審視信息安全工作，有針對(duì)性在加強(qiáng)盲區(qū)和薄弱環(huán)節(jié)的工作，并持續(xù)跟蹤、優(yōu)化。

——IT語錄：不要把手段當(dāng)成了目標(biāo)！

“老公，這周孩子學(xué)校的家長(zhǎng)會(huì)，你去開吧，我們單位有個(gè)重要會(huì)議準(zhǔn)備，得加班了。哈，也就是走個(gè)過場(chǎng)，你報(bào)個(gè)到，聽聽就行了?！?/p>

又是走過場(chǎng)！苗主任現(xiàn)在一聽這句話頭就大，孩子上小學(xué)的時(shí)候參加過一次家長(zhǎng)會(huì)，結(jié)果被老師點(diǎn)名批評(píng)，還要表態(tài)如何配合學(xué)校老師的工作，這不會(huì)又是個(gè)“坑”吧。

苗主任暗忖到。

下期預(yù)告：數(shù)字化轉(zhuǎn)型是個(gè)什么“鬼”？