12月1日��,網(wǎng)絡(luò)安全等級保護(hù)制度2.0標(biāo)準(zhǔn)(以下簡稱“等保2.0”)正式施行�����,依據(jù)《網(wǎng)絡(luò)安全法》第二十一條:網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護(hù)制度的要求����,履行安全保護(hù)義務(wù),保障網(wǎng)絡(luò)免受干擾��、破壞或者未經(jīng)*的訪問�,防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改��。
因此�,網(wǎng)絡(luò)運(yùn)營者需按照等保2.0要求實(shí)施網(wǎng)絡(luò)安全等級保護(hù)����,并進(jìn)行與之相關(guān)的全流程工作����,分別是:定級、備案�、總體規(guī)劃、設(shè)計(jì)與實(shí)施�����、運(yùn)行與維護(hù)以及終止����。其中定級和備案是等保實(shí)施的開始也是基礎(chǔ)。
定級與備案過程
等級保護(hù)制度當(dāng)中等級是非常重要的��,等保2.0與等保1.0類似�����,按照重要程度由低到高將信息系統(tǒng)分為5個(gè)等級����,等級不同施行不同標(biāo)準(zhǔn)的保護(hù)標(biāo)準(zhǔn)并進(jìn)行備案����。對于企業(yè)來說定級與備案是十分重要的步驟��,便于企業(yè)明確自己應(yīng)當(dāng)施行的保護(hù)標(biāo)準(zhǔn)��,假如不明確等級���,施行保護(hù)標(biāo)準(zhǔn)低于定級會陷入違法的境地,實(shí)行保護(hù)標(biāo)準(zhǔn)高于定級則會浪費(fèi)成本���。
定級與備案流程分為定級��、對象分析���、等級確定以及備案四個(gè)步驟,涉及到等保實(shí)施中所有角色�,包括運(yùn)營單位、網(wǎng)絡(luò)安全企業(yè)��、主管部門��、網(wǎng)信辦��、網(wǎng)絡(luò)安全測評機(jī)構(gòu)、網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)以及公安機(jī)關(guān)����。
首先,行業(yè)主管部門和網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)確定本行業(yè)等保等級���,完成行業(yè)/領(lǐng)域定級工作�;第二步�����,運(yùn)營單位和網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)根據(jù)所在行業(yè)�����、業(yè)務(wù)范圍�����、產(chǎn)品作用等情況完成等保對象重要性分析����,并經(jīng)過專家評審;第三步��,主管部門對等保對象、定級進(jìn)行審核����、批準(zhǔn),以確定等保對象數(shù)量��、等級����;后�����,根據(jù)等保管理部門要求辦理備案手續(xù)��,報(bào)公安機(jī)關(guān)進(jìn)行備案審查��,完成全部定級��、備案工作�����。
在這里需要注意的是�����,除了一級等保不需要定級、備案其余等級都需要申報(bào)定級��、進(jìn)行備案�����,其中第三級等保是國家對非銀行機(jī)構(gòu)的高級認(rèn)證����,屬于“監(jiān)管級別”,由國家信息安全監(jiān)管部門進(jìn)行監(jiān)督����、檢查,是目前金融支付機(jī)構(gòu)����、企業(yè)需要達(dá)到的等級。
測評存在于等保實(shí)施所有環(huán)節(jié)中
在等保實(shí)施過程中測評是很重要環(huán)節(jié)�,其主要作用是檢測評估定級對象安全等級是否符合相應(yīng)等級基本要求,是落實(shí)等保的重要手段�。單位需要樹立一個(gè)觀念:測評不是一個(gè)單獨(dú)存在的環(huán)節(jié),不是通過一次就可以,只要施行等保�����,測評就會一直存在���。
能夠進(jìn)行測評的機(jī)構(gòu)須具有相應(yīng)的資質(zhì)�,在測評時(shí)要取得運(yùn)營����、使用單位的委托或者等保管理部門的*。運(yùn)營����、使用單位通過登記測評進(jìn)行現(xiàn)狀分析�����,確定系統(tǒng)安全保護(hù)現(xiàn)狀和存在問題����,并以此確定系統(tǒng)的整改需求。
在等保的定級��、建設(shè)和運(yùn)維過程中都需要進(jìn)行測評工作、獲得測評報(bào)告�����。根據(jù)規(guī)定實(shí)施第三級等保的等保對象需要每年進(jìn)行一次測評��,測評報(bào)告是開展整改加固的重要依據(jù)���,也是第三級以上定級對象備案的重要附件材料�,由此可見�,測評在等保過程中的重要性。
有人將等保實(shí)施過程稱為測評整改再測評再整改直至通過測評的過程�����。第三級等保認(rèn)證需要測評內(nèi)容涵蓋等級保護(hù)安全技術(shù)要求5個(gè)層面和安全管理要求的5個(gè)層面���,主要包含信息保護(hù)�、安全審計(jì)��、通信保密等在內(nèi)的近300項(xiàng)要求��,共涉及測評分類73類���,具體要求可以參照《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)測評要求》�����,而測評過程可以參照《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)測評過程指南》�。
等級測評過程
需要注意的是,企業(yè)內(nèi)網(wǎng)信息系統(tǒng)��、上云或者托管在其他地方的系統(tǒng)也需要進(jìn)行測評�,根據(jù)“誰運(yùn)營誰負(fù)責(zé),誰使用誰負(fù)責(zé)���,誰主管誰負(fù)責(zé)”的原則��,系統(tǒng)責(zé)任主體仍然還是屬于網(wǎng)絡(luò)運(yùn)營者�,因此不可大意���。
等保只是開始
目前全國網(wǎng)絡(luò)安全等級保護(hù)測評機(jī)構(gòu)推薦目錄共包含189家機(jī)構(gòu),需要注意的是�����,等保測評不是安全認(rèn)證���,沒有認(rèn)證證書��,測評報(bào)告和備案證明只能證明該信息系統(tǒng)符合等級保護(hù)的安全要求�����,滿足國家法律法規(guī)的合規(guī)需求��。
做到了等保只是保證網(wǎng)絡(luò)安全���、信息安全的基本要求���,基本保證系統(tǒng)可以平穩(wěn)運(yùn)行,也就是“底線”�����,并不是說做到了等保在安全上就可以����,也不是說做到了等保在發(fā)生風(fēng)險(xiǎn)事故時(shí)就可以規(guī)避法律制裁。
滿足等保需求只是做到了網(wǎng)絡(luò)安全��、數(shù)據(jù)安全的第一步�,也僅僅是合規(guī)的開始����,隨著其他法規(guī)辦法的出臺��,合規(guī)要求必然會越來越嚴(yán)格�����。
