|
定级 “简单化”
与孟岗的意见恰好相反,启明星辰公司首席等级保护专家赵呈东认为,等级保护信息系统等级划分完全可以简单化。赵呈东表示,早些时候,启明星辰确实认为协助用户完成信息系统定级是等级保护带来的商机,同时,帮助用户定级还可以了解用户信息系统,了解用户业务,但在实际运作中,公安部分并不认可这种风险评估。“认为这是安全企业在忽悠客户。”
早期相关文件中,公安部门对定级规划相对复杂,但在听取多方意见之后,系统定级已经相对简单。同时,公安部门在指导企业定级时也给出了参照系统。如浙江省级银行的某子系统定为三级,江苏省级银行的相应的子系统也应该定为三级。人民银行的某系统被定位四级,各省相应的系统就只能是三级,各地市行业的相应系统也不可能超过三级。
同时,在赵呈东看来,定级收费难还体现在无法申请经费。在相关规定中已经明确写明“用户自主定级”。很多企业领导根据这条认定,信息系统定级需要独立自主完成,邀请社会力量协助定级理由不充分。赵呈东表示,在整改阶段容易申请经费,但在定级阶段很难申请经费。因此对一些老客户只能免费协助其完成定级。
定级没有对不对
对于等级保护系统等级划分是应该“简单化”还是应“产业化”。东软公司网络安全产品营销中心网络安全咨询顾问张雨提出了自己的意见。张雨认为,各行业主管部门都颁发了指导性文件,文件规定了几个重要信息系统的等保级别。但对于整体信息系统应该划分为多少个安全域,重要信息系统是应该单独保护还是与其他信息系统划入安全域中,则必须按照各省的实际情况而确认。在此过程中,安全企业必须给行业用户指导性意见。前不久东软承建了江苏省社会保障厅等级保护项目,东软根据当地用户的实际情况对系统进行了等级划分,并帮助用户进行备案文档整理,完成备案。江苏各地市社保系统均遵照省级系统进行划分。
同时,张雨表示,在信息系统划分过程中,用户通常提出两个问题,这样划分系统级别对不对?这样划分系统级别是否符合上级主管部门的要求?其实,判断等级保护系统级别划分的标准不是对不对,而是合适不合适。 |
