一周年:一文带你全面了解企事业如何深入落实等保2.0
发布时间 2020-11-30✦ 2020年2月,教育部办公厅印发《2020年教育信息化和网络安全工作要点》,要求各直属单位加强网络安全防护和保障能力,落实国家网络安全等级保护2.0的相关要求,健全相关工作机制和技术标准;
✦ 2020年6月,自然资源部印发《2020年自然资源部网络安全与信息化工作要点》,要求各级自然资源部门加强自然资源网络与信息化安全,提升网络安全防护能力,落实网络安全等级保护制度;
✦ 2020年11月,中国人民银行正式批准发布金融行业标准《金融行业网络安全等级保护实施指引》(JR/T 0071-2020),指导金融行业各单位、各部门实施网络安全等级保护工作,完善金融行业网络安全等级保护体系;
……
2020年7月,公安部研究制定《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度指导意见》【(公网安【2020】1960号文)(下称“指导意见”)】,要求各行业、各部门结合工作实际,认真参照执行指导意见相关要求,深入贯彻实施网络安全等级保护制度,深入推进网络安全等级保护定级备案、等级测评、安全建设和检查等基础工作。网络安全等级保护2.0工作实施一年以来,尽管各行业积极推动等级保护工作开展,但仍存在一些问题,如:
✦ 业务系统迁移上云如何定级,去哪里定级备案?
✦ 系统迁移上云或进行托管,无需开展等级保护工作?
✦ 系统定级流程不规范,如内网系统不定级、为规避监管三级系统定二级;
✦ 单位多个系统打包成一个系统进行定级;
✦ 将等级保护定级备案与“通过”等级测评混淆;
✦ 等级测评就是等级保护工作的全部;
✦ 等级测评结论具有永久性;
✦ 保证等级测评得分够70分即可,忽略高风险存在;
✦ 等级测评发现问题整改费用高,投资回报率底;
✦ 标准理解不到位,将“等保2.0”与“等保三级”混淆;
……
针对当前存在的问题,本文将通过明确工作目标、了解工作方向、细化工作内容三部分内容,详细介绍企事业单位究竟该如何深入贯彻落实网络安全等级保护制度,提升网络和信息系统安全防护力。
网络安全等级保护工作有哪些目标?
指导意见针对深入贯彻落实网络安全等级保护制度提出下列工作目标:
1、深化网络定级备案工作
全面梳理包括云计算、物联网、新型互联网、大数据、智能制造等新技术应用在内的运营者全部网络情况,科学确定保护等级,依法向公安机关备案。行业主管部门依据《网络安全等级保护定级指南》国家标准,结合行业特点制定行业网络安全等级保护定级指导意见。
2、定期开展网络安全等级测评
对已定级备案网络的安全性进行检测评估,第三级以上网络运营者委托符合国家有关规定的等级测评机构每年开展网络安全等级测评。公安机关加强对本地等级测评机构的监督管理,确保等级测评过程客观、公正、安全。
3、科学开展安全建设整改
运营者在网络建设和运营过程中应同步规划、同步建设、同步使用网络安全保护措施,可通过网络迁移上云或网络安全服务外包方式充分利用网络安全服务商提升网络安全保护能力。
4、强化安全责任落实
按照“谁主管谁负责、谁运营谁负责”的原则,厘清网络安全保护边界,建立网络安全等级保护工作责任制。
5、科学开展安全建设整改
加强网络关键人员的安全管理,采购、使用符合国家法律法规和有关标准规范要求的网络产品及服务。
6、强化安全责任落实
第三级以上网络运营者在网络规划、建设和运行阶段,按照密码应用安全性评估管理办法和相关标准,在网络安全等级测评中同步开展密码应用安全性评估。
网络安全等级保护工作方向指南
1、定级备案
2020年11月1日起,网络安全等级保护定级指南(下称“定级指南”)正式实施,网络运营者应根据定级指南将保护对象梳理清楚,科学确定等级,未定级的系统开展定级备案工作,定级不准系统根据定级指南要求及时调整安全等级。第二级及以上的网络和信息系统应到公安机关备案(县级公安机关)、审核。特别是针对采用下列新技术、新应用的网络和信息系统应合理进行定级:
2、建设整改
随着“关口前移”、“安全左移”等安全建设理念的提出,对于新建网络和信息系统在开展安全建设时要依据基本要求、设计技术要求和测评要求等国家标准落实“三同步”要求,根据等级保护“一个中心、三重防护”的安全防护理念构建安全防护体系。针对新建网络和信息系统,在落实安全防护措施时应考虑以下安全技术:
✦ 网络和信息系统迁移上云获取专业化、集约化安全防护措施及能力;
✦ 网络安全服务外包,由网络安全服务商提供专业安全服务提升系统安全防护能力;
✦ “零信任”、“主动免疫”等技术,提升网络和信息系统主动防御能力;
✦ 保障供应链安全,采取严格有效措施对网络系统的建设、设计、运维、服务等方面进行管控,加强人员的管理,评估风险;
✦ 采购产品和服务一定要符合要求,符合国家要求;
✦ 参照行业内优秀安全解决方案积极推动等保2.0建设;
……
此外,《中华人民共和国密码法》自2020年1月1日起施行,网络运营者应按照《密码法》要求,正确、有效采用密码技术对网络和信息系统进行安全保护;针对第三级以上的网络和信息系统应将等级保护工作和商用密码应用安全性评估工作进行衔接,保证网络和信息系统的安全性、合规性以及商用密码应用的有效性。
3、等级测评
网络运营者应依据网络安全等级保护测评要求等有关标准开展等级测评、风险评估,第三级及以上的网络和信息系统每年开展一次等级测评工作,并对测评中发现的安全问题进行及时整改。此外,应注意下列三点:
✦ 第三级及以上新建网络和信息系统应通过等级测评后再投入使用;
✦ 对于已运行的网络和信息系统应定期开展测评,及时发现安全问题并进行建设整改;
✦ 网络和系统发生安全事件或日常巡检发现高风险问题时应及时进行安全评估,避免发生安全事件。
4、监督检查
监督检查主要核实网络和信息系统运营使用、建设单位的等级保护工作开展和落实情况,重点督促、检查安全设施、安全措施、安全管理制度、安全责任、责任部门和人员。检查的核心内容有:
✦ 等级保护工作部署和组织实施情况;
✦ 信息系统安全等级保护定级备案情况;
✦ 网络安全设施建设情况和网络安全整改情况;
✦ 网络安全管理制度建立和落实情况;
✦ 网络安全产品选择和使用情况;
✦ 聘请测评机构开展技术测评及定期自查工作情况。
企事业单位如何深入贯彻落实网络安全等级保护制度?
启明星辰作为唯一一家全程参与等保2.0“三大”核心标准起草单位,能够为用户提供全方位的网络安全等级保护服务以及等级保护落地实施、支撑工作。为推动网络安全等级保护工作的深入贯彻落实,启明星辰集团以提升安全防护能力为目标,基于用户保障“等级保护安全合规,夯实基础安全能力”的安全需求,结合“以威胁发现为基础,以分析处置为核心,以发现隐患为关键,以推动提升为目标”的安全运营思想,为政企用户提供“保安式”的“新一代安全服务体系。
“专项基础安全服务”作为“等保/关保”时代安全服务体系的核心基础部分,依托于启明星辰集团丰富的安全产品(边界防护类、安全检测类、安全审计类、身份认证类、终端安全类、安全管理类)和安全服务构建“安全管理+安全技术”为核心的等保合规体系,助力各单位(组织)深入贯彻落实等级保护工作,提升网络和信息系统基础安全防护能力。
新一代安全服务体系之等保部分架构图
其中,网络安全等级保护2.0合规性服务通过为用户提供专业的等保咨询和指导,科学帮助用户梳理需定级/备案的网络系统,协助用户完成备案工作;安全技术体系建设服务基于安全技术体系和管理体系建设服务,助力用户完善安全体系,强化安全防护能力;安全加固服务通过专业的安全基线和配置核查类工具,可以帮助用户完成安全加固,提升网络和信息系统各个层面的安全能力。
“以评促建,以评促改,以评促管”,作为专业的网络安全服务商,启明星辰集团通过安全评估服务、渗透测试/漏洞挖掘服务,助力用户及时发现网络和信息系统安全风险,并针对发现的安全问题进行针对性的建设整改,顺利通过等级测评工作,保证网络和信息系统安全合规。
在等保2.0正式实施一周年之际,启明星辰将与所有政企客户一起,通过启明星辰的“等保安全合规体系”帮助用户解决在开展等级保护工作中面临的问题,逐步细化等保工作各阶段所需服务内容,通过专项基础安全服务与各级单位(用户)协力推动等级保护工作,助力用户深入贯彻落实网络安全等级保护制度,携手用户共同步入网络安全发展的新时代。
|文章内容引自于微信公众号:启明星辰技术中心|
京公网安备11010802024551号