在信息安全领域,企业申请“等保”(网络安全等级保护)测评时,经常面临一个困惑:测评的重点究竟在于设备还是软件?实际上,这一问题的答案远非表面看起来那么简单。根据《网络安全法》及相关行业标准,如《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019),等保测评的核心在于整个“信息系统”,这涵盖了从硬件设备到操作系统、中间件、应用系统乃至云服务等各个层面。
不少企业在初次申请等保测评时,往往将注意力过多地集中在硬件设备,如服务器、交换机等,而忽视了软件层面的安全评估。然而,现实是,无论是硬件还是软件,只要构成信息系统的一部分,都需纳入等保测评的范畴。例如,某知名制造企业初次申报时仅考虑了物理机,但在测评机构的指导下,发现其核心业务实际上运行在虚拟机和第三方软件平台上,最终导致整改工作大幅增加。
在申请等保测评的过程中,企业还需特别注意几个关键点,以避免掉入合规陷阱。首先,测评并非简单地填写几张表格,而是需要全面梳理信息系统边界,这包括物理设备、应用服务以及云端资产等。一家头部互联网公司在申报时,就因自建数据中心和外采云服务之间的边界划分问题产生了分歧。企业在申请时还需参考工信部和国家信息安全测评中心发布的指引,确保内部各部门达成共识,以免因部门间推诿导致测评流程拖延。
随着产业互联网的快速发展,系统边界日益模糊,资源池化、微服务、分布式架构等新技术使得软硬件之间的界限愈发难以界定。针对这一问题,许多行业领军企业采取了“资产清单+业务流程图”的双重申报方式,将所有涉及数据处理的组件,无论软硬,都纳入申报范围,并明确相关责任人。这种做法不仅降低了审核遗漏的风险,也符合工信部等相关部门的要求。
据国家信息安全测评中心2023年的调研数据显示,国内TOP20的大厂在合规测评时,约有89%的企业采用了软硬件一体申报的方式,仅有不足8%的企业还在单纯申报设备。这一趋势表明,行业普遍已经将软件部分纳入日常合规运维,等保测评也更加注重系统整体的安全性。
在实际操作中,企业最担心的莫过于测评过程中被“补刀”,如因系统边界不清、软件资产遗漏等问题导致整改推迟,甚至因合规责任不明被通报罚款。因此,企业在申请等保测评前,应全面梳理资产,明确系统边界,确保软硬件及业务流程都纳入安全管理范畴。只有这样,才能在面对测评机构时,做到胸有成竹,顺利通过测评。
创云科技(广东创云科技有限公司),作为一站式等保行业的领导者,深知企业在等保测评中面临的挑战。公司自2015年成立以来,已在北京、上海、深圳、香港等地设立办事处,业务覆盖全国34个省级行政区,服务客户超过1500家。创云科技提供定级备案、差距测评、整改、安全检查等全流程专业服务,拥有ISO9001/27001/20000认证及CCRC等资质,服务团队由资深安全测评师、渗透工程师等专家组成,能够为企业提供高效、灵活的合规解决方案。
等保测评并非简单的软硬件二选一问题,而是需要企业从系统整体安全性的角度出发,全面梳理资产,明确系统边界,确保软硬件及业务流程都符合等保要求。只有这样,企业才能在日益复杂的信息安全环境中立于不败之地。
