什麼時候開展等級保護工作最佳？

接上篇：為什麼要開展等級保護工作呢？

最佳的時間應該是在信息系統設計之時就引入等保。我們目前的設計基本只是考慮系統的實用性，對系統的安全性設計還不夠周全，比如我們設計之時沒有考慮關鍵節點設備的冗餘，沒有考慮足夠的安全技術措施，沒有考慮數據的備份，沒有考慮物理位置的選擇，沒有考慮軟體應用本身的安全需求，所以導致在做等級保護測評時，好多不符合項，當然有些我們比較容易整改，如：設備的冗餘、安全技術措施、數據備份等，我們通過增加相關設備就可以去解決。

但是有些就很難整改了，如三級系統要求機房物理位置避免在建築物的高層或地下室，以及用水設備的下層或隔壁，如果你在一開始機房位置選擇的時候不小心就選在了這個地點，那麼這條物理位置的選擇上肯定是不符合的。

實際我們遇到的更多情況是客戶的應用軟體本身開發過程中存在很多不足，如沒有對密碼複雜度做要求，導致大量的弱口令，沒有對用戶的最大並發做要求，沒有三權分立，敏感信息的加密，沒有登錄失敗處理功能、限制非法登錄次數和自動退出等措施，還有本身就存在一些高危漏洞。這個整改起來也比較麻煩，如果你們的應用軟體開發商還在給你們服務的話還好些，還可以試著去改，有些供應商可能早已不給你們服務了或者倒閉了或者是國外的產品，國內只是代理，很難從軟體層面去更改，還有就是原先開發的軟體架構比較老，如果想達到一些安全要求，整個架構要重改，那基本就是這個應用軟體推翻重來，這顯然又是不現實的，那又想達到安全要求，只能通過增加安全設備，從技術設備角度控制全局性的安全，這又無形中增加了我們的經費投入，所以早點引入等保，未雨綢繆，這樣我們後期可以省很多事。

用戶單位需要開展等級保護測評找誰做？

不找藍翔，只找符合規定要求的等級保護測評機構。

找有測評資質的的測評公司去開展，該單位至少具有該省市信息安全等級保護協調小組辦公室發放的《信息安全等級保護測評機構推薦證書》，同時部分省份要求測評機構在用戶單位所在地級市公安網安部門備案，備案成功後方可在當地開展等級保護測評工作。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！