网络安全等级保护：明确测评双方的责任从了解测评过程指南开始

网络安全等级保护工作的主体直接责任在各个责任单位，在测评环节也就是委托测评机构，第三方测评机构承担的则是间接责任。《信息安全等级保护管理办法》中，明确的是各个责任单位开展网络安全等级保护的责任。

测评委托单位其实也是需要了解一些有关测评过程的，而不是仅仅测评机构的测评人员需要了解，了解测评过程指南可以更顺畅的配合测评工作，属于应知应会的范畴。测评委托单位在测评过程中，也有对测评机构监督的责任。公安机关接收的测评报告，从理论上是接收的测评委托单位送交的材料，而若送交材料不符合要求或者存在弄虚作假，则测评委托单位则需要承担直接责任。

针对很多测评委托单位，还不知道怎么配合测评工作？还不知道什么是测评工作，测评工作就已经结束了，在这个过程中竟然不知道自己如何配合的工作，甚至不知道自己如何配合了工作。这也就说明，测评委托单位，也就是公安机关称之为责任单位，《网络安全法》中定义为“网络运营者”。并未在测评过程中，尽到自己应有的责任，而是在这个过程中，做了甩手掌柜。只片面希望追求测评好成绩，而不是通过扎实的工作获得Zui终测评好成绩，其实这是有风险的，一旦出现安全事件，则可能被加重处罚。我们整理了测评过程指南给出了一些参考，作为测评委托单位的IT人员可以多多参考之。

一定要明确，网络安全工作可以外包，法律责任无法外包，工作外包Zui多能解决经济损失，降低在经济方面的损失。公安机关在网络安全事件处罚时，还有行政警告，这块内容是没有办法量化的，对于责任单位相关人员来说，和自己的利益切实相关的。

本次，我将《信息安全技术网络安全等级保护测评过程指南》整理成思维导图形式，希望能够让大家对此有个大致的了解，不至于工作结束了，拿到测评报告了，不知道自己单位的等级测评工作咋做的。测评报告中的遗留的风险隐患是什么也不知道，整改情况也不知道。有时，可能大家都有千万条理由，千万条借口，工作所在职责所在，本身就是需要应知应会东西，责任方面是没有任何推脱的借口和理由的。
在配合测评过程中，很多单位的朋友总是很忙有很多理由，Zui终测评报告是出来了。在监督检查过程中，连制度都是松散不成型的，更别谈制度体系了。所有制度只是制度，没有方针政策、没有法律法规遵循、没有操作规程等等，网络安全工作开展多年，等级保护工作也开展多年，我想这样的单位现在依然还是不少的！

测评工作其实是甲方、乙方双方共同的工作，想告诉大家，等级保护测评在落实过程中，尽量是务实而不是务虚。务实尚且还存在无法发现或解决的风险隐患，何况是务虚呢？任何一种务虚行为产生的资料可以理解成是虚假材料，其无论何种层面讲都是无价值的。前面我曾经整理了一篇《网络安全等级保护：如何做好网络安全监督检查迎检工作》，有兴趣的朋友也可以参考一下。
等级测评工作中，有些测评机构和厂商，会引导责任单位通过临时部署设备，用以满足测评要求，这种“应付”式的测评存在非常大的隐患，建议各单位在落实工作中看清危害。我们从事网络安全工作的人，都知道各类设备都有日志，发生网络安全事件，一旦监管部门严格执法，这种造假糊弄式的“合规”可能面临着加重处罚的可能。有些单位从拓扑图方面看似完全符合等级保护对应级别要求，而各类设备常常未合理配置设备策略，这也是一大隐患。等级保护测评只是落实等级保护工作的一个关键环节，不是等级保护的全部。等级保护Zui终要求是通过技术和管理手段提升等级保护对象的整体安全防护能力，等级保护测评是等级保护的必要不充分条件。如何落实等级保护制度，做好等级测评工作？联系我，咱们一起探讨。合规，不是弄虚作假得高分，需要一步一个脚印，踏踏实实落实各项措施，及时跟进内外部环境变化，方能做到真合规。远离伪合规，走进真合规！