这个“走过场”，可不容易！
——“IT生存法则”之信息系统安全等保测评

“……,经过测评组认真评定，你们的现状没有完全达到此次申请的信息系统安全三级等保标准要求，最后的结论是不能通过，请你们在整改后再重新申请测评……”

听到安全等保测评组组长的正式宣布，苗主任的头嗡的一下，有些发蒙！怎么会这样？不是说就是走个过场吗？怎么这么严格，不就是流程不太规范，少了台安全设备吗？这庆功宴都安排好了，出个这样的幺蛾子结果怎么向上级领导和辛苦准备的同事们解释呢？

也难怪苗主任要发急了，为了响应行业合规要求，根据集团公司的年度重点工作安排，苗主任牵头负责信息系统安全等保的测评准备与应评工作，本来以为只要把评测费交足了，也就是个走过场的事！所以也没有找什么专业的辅导机构，只是内部组建了一个安全等保项目小组，大家突击准备了1个月。

看来还是自己大意了，术业有专攻，专业的人做专业的事，这个教训可是太大了，还是尽快搬救兵吧！

确实，随着全社会对信息安全的重视越来越高，各类机构对信息系统安全等保的测评需求也是水涨船高，那么，等保测评的通关密码是什么呢？

先来说一说什么是信息安全等保？

信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作。在中国，信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作。狭义上一般指信息系统安全等级保护。

在中国，信息系统安全等级保护主要分五级，依据信息系统受到破坏后，是否会对公民、法人和其他组织的合法权益造成损害，是否损害国家安全、社会秩序和公共利益等情况，以及损害的严重程度，依次强化信息系统安全保护标准要求。其中一级最低，五级最高。

通常，这个工作需要由国家主管部门（注：一般指国家公安部及各地方公安局网监部门）认证授权的测评机构才有权进行，并出具评测结论，完成备案审批。

再来谈一谈为什么要进行信息安全等保？

从实践中的案例来看，申请信息安全等保的机构主要有三方面的原因：为了证明自己的IT环境有安全保障、为了通过行业合规或上级主管部门的检查、为了体现自己对信息安全的重视程度。

其中，第一类主要是指一些服务机构，它们为了让客户放心使用自已基于IT环境所提供的各类服务，证明客户信息的安全，必须通过等保相应级别的认证，而且三级起步，要越高越好，这已成为市场竞争要素之一。

第二类主要是指一些行业机构，基于行业监管要求，或者行业主管部门的特别指示，需要通过相应级别的等保认证，以便在年度检查或评比中取得满意的结果，一般以通过一、二、三级等保为主。

第三类则是指一些有潜力的机构，虽没有经营和行业监管要求，但基于推广自身品牌、形象、口碑等目的，或者仅仅是主要负责人的虚荣心，而想要通过相应级别的等保认证，这类一般都会以通过三级等保为目标。

让我们看一看要怎样做才能顺利通过信息安全等保呢？

通常的准备与测评流程是这样的：评估、备案、建设、预测评、加固、正式测评。其中前五步统称为准备阶段，主要有三种准备方式，即自己独立准备、请专业服务商辅导准备、联合准备；最后一步才是评定阶段，主要由经国家行业主管部门认证授权的测评机构负责，如果一次测评没有通过，需要整改后，再次测评，如此循环，直到通过为止。

由此可知，主要工作量在准备阶段，如果准备工作做到位了，正式测评确实是可以顺顺利利的，也真成了“走过场”。这其中，评估是对现状进行摸底，看可以申请几级等保，如果离预想的差距较大，则要么加大投入，要么降低预期；备案是根据评估的结果及权衡决策，确定最终的申请级别并向相关机构备案申请；建设是指根据要申请的等保级别标准，进行相应的安全软硬件采购、安全流程设计、安全人员培训等；预测评是指完全按照等保级别标准，一项项进行自评，找出差距；加固是指针对预测评找出的差距进行调整，以符合要求。

需要特别提醒的是：等保测评只是信息安全工作的一个组成部分，如果以为通过等保测评了，尤其是通过较高级别的等保了，就实现信息安全了，这种想法是极为幼稚的！正确的态度是以等保测评工作为契机，全面审视信息安全工作，有针对性在加强盲区和薄弱环节的工作，并持续跟踪、优化。

——IT语录：不要把手段当成了目标！

“老公，这周孩子学校的家长会，你去开吧，我们单位有个重要会议准备，得加班了。哈，也就是走个过场，你报个到，听听就行了。”

又是走过场！苗主任现在一听这句话头就大，孩子上小学的时候参加过一次家长会，结果被老师点名批评，还要表态如何配合学校老师的工作，这不会又是个“坑”吧。

苗主任暗忖到。

下期预告：数字化转型是个什么“鬼”？