“……,經(jīng)過測評組認真評定，你們的現(xiàn)狀沒有完全達到此次申請的信息系統(tǒng)安全三級等保標(biāo)準(zhǔn)要求，最后的結(jié)論是不能通過，請你們在整改后再重新申請測評……”

聽到安全等保測評組組長的正式宣布，苗主任的頭嗡的一下，有些發(fā)蒙！怎么會這樣？不是說就是走個過場嗎？怎么這么嚴格，不就是流程不太規(guī)范，少了臺安全設(shè)備嗎？這慶功宴都安排好了，出個這樣的幺蛾子結(jié)果怎么向上級領(lǐng)導(dǎo)和辛苦準(zhǔn)備的同事們解釋呢？

也難怪苗主任要發(fā)急了，為了響應(yīng)行業(yè)合規(guī)要求，根據(jù)集團公司的年度重點工作安排，苗主任牽頭負責(zé)信息系統(tǒng)安全等保的測評準(zhǔn)備與應(yīng)評工作，本來以為只要把評測費交足了，也就是個走過場的事！所以也沒有找什么專業(yè)的輔導(dǎo)機構(gòu)，只是內(nèi)部組建了一個安全等保項目小組，大家突擊準(zhǔn)備了1個月。

看來還是自己大意了，術(shù)業(yè)有專攻，專業(yè)的人做專業(yè)的事，這個教訓(xùn)可是太大了，還是盡快搬救兵吧！

確實，隨著全社會對信息安全的重視越來越高，各類機構(gòu)對信息系統(tǒng)安全等保的測評需求也是水漲船高，那么，等保測評的通關(guān)密碼是什么呢？

先來說一說什么是信息安全等保？

信息安全等級保護是對信息和信息載體按照重要性等級分級別進行保護的一種工作。在中國，信息安全等級保護廣義上為涉及到該工作的標(biāo)準(zhǔn)、產(chǎn)品、系統(tǒng)、信息等均依據(jù)等級保護思想的安全工作。狹義上一般指信息系統(tǒng)安全等級保護。

在中國，信息系統(tǒng)安全等級保護主要分五級，依據(jù)信息系統(tǒng)受到破壞后，是否會對公民、法人和其他組織的合法權(quán)益造成損害，是否損害國家安全、社會秩序和公共利益等情況，以及損害的嚴重程度，依次強化信息系統(tǒng)安全保護標(biāo)準(zhǔn)要求。其中一級最低，五級最高。

通常，這個工作需要由國家主管部門（注：一般指國家公安部及各地方公安局網(wǎng)監(jiān)部門）認證授權(quán)的測評機構(gòu)才有權(quán)進行，并出具評測結(jié)論，完成備案審批。

再來談一談為什么要進行信息安全等保？

從實踐中的案例來看，申請信息安全等保的機構(gòu)主要有三方面的原因：為了證明自己的IT環(huán)境有安全保障、為了通過行業(yè)合規(guī)或上級主管部門的檢查、為了體現(xiàn)自己對信息安全的重視程度。

其中，第一類主要是指一些服務(wù)機構(gòu)，它們?yōu)榱俗尶蛻舴判氖褂米砸鸦贗T環(huán)境所提供的各類服務(wù)，證明客戶信息的安全，必須通過等保相應(yīng)級別的認證，而且三級起步，要越高越好，這已成為市場競爭要素之一。

第二類主要是指一些行業(yè)機構(gòu)，基于行業(yè)監(jiān)管要求，或者行業(yè)主管部門的特別指示，需要通過相應(yīng)級別的等保認證，以便在年度檢查或評比中取得滿意的結(jié)果，一般以通過一、二、三級等保為主。

第三類則是指一些有潛力的機構(gòu)，雖沒有經(jīng)營和行業(yè)監(jiān)管要求，但基于推廣自身品牌、形象、口碑等目的，或者僅僅是主要負責(zé)人的虛榮心，而想要通過相應(yīng)級別的等保認證，這類一般都會以通過三級等保為目標(biāo)。

讓我們看一看要怎樣做才能順利通過信息安全等保呢？

通常的準(zhǔn)備與測評流程是這樣的：評估、備案、建設(shè)、預(yù)測評、加固、正式測評。其中前五步統(tǒng)稱為準(zhǔn)備階段，主要有三種準(zhǔn)備方式，即自己獨立準(zhǔn)備、請專業(yè)服務(wù)商輔導(dǎo)準(zhǔn)備、聯(lián)合準(zhǔn)備；最后一步才是評定階段，主要由經(jīng)國家行業(yè)主管部門認證授權(quán)的測評機構(gòu)負責(zé)，如果一次測評沒有通過，需要整改后，再次測評，如此循環(huán)，直到通過為止。

由此可知，主要工作量在準(zhǔn)備階段，如果準(zhǔn)備工作做到位了，正式測評確實是可以順順利利的，也真成了“走過場”。這其中，評估是對現(xiàn)狀進行摸底，看可以申請幾級等保，如果離預(yù)想的差距較大，則要么加大投入，要么降低預(yù)期；備案是根據(jù)評估的結(jié)果及權(quán)衡決策，確定最終的申請級別并向相關(guān)機構(gòu)備案申請；建設(shè)是指根據(jù)要申請的等保級別標(biāo)準(zhǔn)，進行相應(yīng)的安全軟硬件采購、安全流程設(shè)計、安全人員培訓(xùn)等；預(yù)測評是指完全按照等保級別標(biāo)準(zhǔn)，一項項進行自評，找出差距；加固是指針對預(yù)測評找出的差距進行調(diào)整，以符合要求。

需要特別提醒的是：等保測評只是信息安全工作的一個組成部分，如果以為通過等保測評了，尤其是通過較高級別的等保了，就實現(xiàn)信息安全了，這種想法是極為幼稚的！正確的態(tài)度是以等保測評工作為契機，全面審視信息安全工作，有針對性在加強盲區(qū)和薄弱環(huán)節(jié)的工作，并持續(xù)跟蹤、優(yōu)化。

——IT語錄：不要把手段當(dāng)成了目標(biāo)！

“老公，這周孩子學(xué)校的家長會，你去開吧，我們單位有個重要會議準(zhǔn)備，得加班了。哈，也就是走個過場，你報個到，聽聽就行了。”

又是走過場！苗主任現(xiàn)在一聽這句話頭就大，孩子上小學(xué)的時候參加過一次家長會，結(jié)果被老師點名批評，還要表態(tài)如何配合學(xué)校老師的工作，這不會又是個“坑”吧。

苗主任暗忖到。

下期預(yù)告：數(shù)字化轉(zhuǎn)型是個什么“鬼”？