這個“走過場”，可不容易！
——“IT生存法則”之信息系統安全等保測評

“……,經過測評組認真評定，你們的現狀沒有完全達到此次申請的信息系統安全三級等保標準要求，最后的結論是不能通過，請你們在整改后再重新申請測評……”

聽到安全等保測評組組長的正式宣布，苗主任的頭嗡的一下，有些發蒙！怎么會這樣？不是說就是走個過場嗎？怎么這么嚴格，不就是流程不太規范，少了臺安全設備嗎？這慶功宴都安排好了，出個這樣的幺蛾子結果怎么向上級領導和辛苦準備的同事們解釋呢？

也難怪苗主任要發急了，為了響應行業合規要求，根據集團公司的年度重點工作安排，苗主任牽頭負責信息系統安全等保的測評準備與應評工作，本來以為只要把評測費交足了，也就是個走過場的事！所以也沒有找什么專業的輔導機構，只是內部組建了一個安全等保項目小組，大家突擊準備了1個月。

看來還是自己大意了，術業有專攻，專業的人做專業的事，這個教訓可是太大了，還是盡快搬救兵吧！

確實，隨著全社會對信息安全的重視越來越高，各類機構對信息系統安全等保的測評需求也是水漲船高，那么，等保測評的通關密碼是什么呢？

先來說一說什么是信息安全等保？

信息安全等級保護是對信息和信息載體按照重要性等級分級別進行保護的一種工作。在中國，信息安全等級保護廣義上為涉及到該工作的標準、產品、系統、信息等均依據等級保護思想的安全工作。狹義上一般指信息系統安全等級保護。

在中國，信息系統安全等級保護主要分五級，依據信息系統受到破壞后，是否會對公民、法人和其他組織的合法權益造成損害，是否損害國家安全、社會秩序和公共利益等情況，以及損害的嚴重程度，依次強化信息系統安全保護標準要求。其中一級最低，五級最高。

通常，這個工作需要由國家主管部門（注：一般指國家公安部及各地方公安局網監部門）認證授權的測評機構才有權進行，并出具評測結論，完成備案審批。

再來談一談為什么要進行信息安全等保？

從實踐中的案例來看，申請信息安全等保的機構主要有三方面的原因：為了證明自己的IT環境有安全保障、為了通過行業合規或上級主管部門的檢查、為了體現自己對信息安全的重視程度。

其中，第一類主要是指一些服務機構，它們為了讓客戶放心使用自已基于IT環境所提供的各類服務，證明客戶信息的安全，必須通過等保相應級別的認證，而且三級起步，要越高越好，這已成為市場競爭要素之一。

第二類主要是指一些行業機構，基于行業監管要求，或者行業主管部門的特別指示，需要通過相應級別的等保認證，以便在年度檢查或評比中取得滿意的結果，一般以通過一、二、三級等保為主。

第三類則是指一些有潛力的機構，雖沒有經營和行業監管要求，但基于推廣自身品牌、形象、口碑等目的，或者僅僅是主要負責人的虛榮心，而想要通過相應級別的等保認證，這類一般都會以通過三級等保為目標。

讓我們看一看要怎樣做才能順利通過信息安全等保呢？

通常的準備與測評流程是這樣的：評估、備案、建設、預測評、加固、正式測評。其中前五步統稱為準備階段，主要有三種準備方式，即自己獨立準備、請專業服務商輔導準備、聯合準備；最后一步才是評定階段，主要由經國家行業主管部門認證授權的測評機構負責，如果一次測評沒有通過，需要整改后，再次測評，如此循環，直到通過為止。

由此可知，主要工作量在準備階段，如果準備工作做到位了，正式測評確實是可以順順利利的，也真成了“走過場”。這其中，評估是對現狀進行摸底，看可以申請幾級等保，如果離預想的差距較大，則要么加大投入，要么降低預期；備案是根據評估的結果及權衡決策，確定最終的申請級別并向相關機構備案申請；建設是指根據要申請的等保級別標準，進行相應的安全軟硬件采購、安全流程設計、安全人員培訓等；預測評是指完全按照等保級別標準，一項項進行自評，找出差距；加固是指針對預測評找出的差距進行調整，以符合要求。

需要特別提醒的是：等保測評只是信息安全工作的一個組成部分，如果以為通過等保測評了，尤其是通過較高級別的等保了，就實現信息安全了，這種想法是極為幼稚的！正確的態度是以等保測評工作為契機，全面審視信息安全工作，有針對性在加強盲區和薄弱環節的工作，并持續跟蹤、優化。

——IT語錄：不要把手段當成了目標！

“老公，這周孩子學校的家長會，你去開吧，我們單位有個重要會議準備，得加班了。哈，也就是走個過場，你報個到，聽聽就行了。”

又是走過場！苗主任現在一聽這句話頭就大，孩子上小學的時候參加過一次家長會，結果被老師點名批評，還要表態如何配合學校老師的工作，這不會又是個“坑”吧。

苗主任暗忖到。

下期預告：數字化轉型是個什么“鬼”？