首頁 > 關于我們 > 新聞動態 > 深度解讀

一周年:一文帶你全面了解企事業如何深入落實等保2.0

發布時間 2020-11-30
自2019年12月1日起,網絡安全等級保護“三大核心”標準(基本要求、測評要求、實施要求)正式實施,意味著網絡安全等級保護工作進入2.0時代。恰逢網絡安全等級保護系列標準發布實施一周年,各行業(各單位、各部門)陸續推進網絡安全等級保護工作:


? 2020年2月,教育部辦公廳印發《2020年教育信息化和網絡安全工作要點》,要求各直屬單位加強網絡安全防護和保障能力,落實國家網絡安全等級保護2.0的相關要求,健全相關工作機制和技術標準;

? 2020年6月,自然資源部印發《2020年自然資源部網絡安全與信息化工作要點》,要求各級自然資源部門加強自然資源網絡與信息化安全,提升網絡安全防護能力,落實網絡安全等級保護制度;

? 2020年11月,中國人民銀行正式批準發布金融行業標準《金融行業網絡安全等級保護實施指引》(JR/T 0071-2020),指導金融行業各單位、各部門實施網絡安全等級保護工作,完善金融行業網絡安全等級保護體系;

……


2020年7月,公安部研究制定《貫徹落實網絡安全等級保護制度和關鍵信息基礎設施安全保護制度指導意見》【(公網安【2020】1960號文)(下稱“指導意見”)】,要求各行業、各部門結合工作實際,認真參照執行指導意見相關要求,深入貫徹實施網絡安全等級保護制度,深入推進網絡安全等級保護定級備案、等級測評、安全建設和檢查等基礎工作。網絡安全等級保護2.0工作實施一年以來,盡管各行業積極推動等級保護工作開展,但仍存在一些問題,如:


? 業務系統遷移上云如何定級,去哪里定級備案?

? 系統遷移上云或進行托管,無需開展等級保護工作?

? 系統定級流程不規范,如內網系統不定級、為規避監管三級系統定二級;

? 單位多個系統打包成一個系統進行定級;

? 將等級保護定級備案與“通過”等級測評混淆;

? 等級測評就是等級保護工作的全部;

? 等級測評結論具有永久性;

? 保證等級測評得分夠70分即可,忽略高風險存在;

? 等級測評發現問題整改費用高,投資回報率底;

? 標準理解不到位,將“等保2.0”與“等保三級”混淆;

……


針對當前存在的問題,本文將通過明確工作目標、了解工作方向、細化工作內容三部分內容,詳細介紹企事業單位究竟該如何深入貫徹落實網絡安全等級保護制度,提升網絡和信息系統安全防護力。


網絡安全等級保護工作有哪些目標?


指導意見針對深入貫徹落實網絡安全等級保護制度提出下列工作目標:


1、深化網絡定級備案工作


全面梳理包括云計算、物聯網、新型互聯網、大數據、智能制造等新技術應用在內的運營者全部網絡情況,科學確定保護等級,依法向公安機關備案。行業主管部門依據《網絡安全等級保護定級指南》國家標準,結合行業特點制定行業網絡安全等級保護定級指導意見。


2、定期開展網絡安全等級測評


對已定級備案網絡的安全性進行檢測評估,第三級以上網絡運營者委托符合國家有關規定的等級測評機構每年開展網絡安全等級測評。公安機關加強對本地等級測評機構的監督管理,確保等級測評過程客觀、公正、安全。


3、科學開展安全建設整改


運營者在網絡建設和運營過程中應同步規劃、同步建設、同步使用網絡安全保護措施,可通過網絡遷移上云或網絡安全服務外包方式充分利用網絡安全服務商提升網絡安全保護能力。


4、強化安全責任落實


按照“誰主管誰負責、誰運營誰負責”的原則,厘清網絡安全保護邊界,建立網絡安全等級保護工作責任制。


5、科學開展安全建設整改


加強網絡關鍵人員的安全管理,采購、使用符合國家法律法規和有關標準規范要求的網絡產品及服務。


6、強化安全責任落實


第三級以上網絡運營者在網絡規劃、建設和運行階段,按照密碼應用安全性評估管理辦法和相關標準,在網絡安全等級測評中同步開展密碼應用安全性評估。


網絡安全等級保護工作方向指南


1、定級備案


2020年11月1日起,網絡安全等級保護定級指南(下稱“定級指南”)正式實施,網絡運營者應根據定級指南將保護對象梳理清楚,科學確定等級,未定級的系統開展定級備案工作,定級不準系統根據定級指南要求及時調整安全等級。第二級及以上的網絡和信息系統應到公安機關備案(縣級公安機關)、審核。特別是針對采用下列新技術、新應用的網絡和信息系統應合理進行定級:


1.png


2、建設整改


隨著“關口前移”、“安全左移”等安全建設理念的提出,對于新建網絡和信息系統在開展安全建設時要依據基本要求、設計技術要求和測評要求等國家標準落實“三同步”要求,根據等級保護“一個中心、三重防護”的安全防護理念構建安全防護體系。針對新建網絡和信息系統,在落實安全防護措施時應考慮以下安全技術:


? 應用可信計算、商用密碼等新技術,開展安全建設和整改加固;

? 網絡和信息系統遷移上云獲取專業化、集約化安全防護措施及能力;

? 網絡安全服務外包,由網絡安全服務商提供專業安全服務提升系統安全防護能力;

? “零信任”、“主動免疫”等技術,提升網絡和信息系統主動防御能力;

? 保障供應鏈安全,采取嚴格有效措施對網絡系統的建設、設計、運維、服務等方面進行管控,加強人員的管理,評估風險;

? 采購產品和服務一定要符合要求,符合國家要求;

? 參照行業內優秀安全解決方案積極推動等保2.0建設;

……


此外,《中華人民共和國密碼法》自2020年1月1日起施行,網絡運營者應按照《密碼法》要求,正確、有效采用密碼技術對網絡和信息系統進行安全保護;針對第三級以上的網絡和信息系統應將等級保護工作和商用密碼應用安全性評估工作進行銜接,保證網絡和信息系統的安全性、合規性以及商用密碼應用的有效性。


3、等級測評


網絡運營者應依據網絡安全等級保護測評要求等有關標準開展等級測評、風險評估,第三級及以上的網絡和信息系統每年開展一次等級測評工作,并對測評中發現的安全問題進行及時整改。此外,應注意下列三點:


? 第三級及以上新建網絡和信息系統應通過等級測評后再投入使用;

? 對于已運行的網絡和信息系統應定期開展測評,及時發現安全問題并進行建設整改;

? 網絡和系統發生安全事件或日常巡檢發現高風險問題時應及時進行安全評估,避免發生安全事件。


2.png


4、監督檢查


監督檢查主要核實網絡和信息系統運營使用、建設單位的等級保護工作開展和落實情況,重點督促、檢查安全設施、安全措施、安全管理制度、安全責任、責任部門和人員。檢查的核心內容有:


? 等級保護工作部署和組織實施情況;

? 信息系統安全等級保護定級備案情況;

? 網絡安全設施建設情況和網絡安全整改情況;

? 網絡安全管理制度建立和落實情況;

? 網絡安全產品選擇和使用情況;

? 聘請測評機構開展技術測評及定期自查工作情況。


企事業單位如何深入貫徹落實網絡安全等級保護制度?


啟明星辰作為唯一一家全程參與等保2.0“三大”核心標準起草單位,能夠為用戶提供全方位的網絡安全等級保護服務以及等級保護落地實施、支撐工作。為推動網絡安全等級保護工作的深入貫徹落實,啟明星辰集團以提升安全防護能力為目標,基于用戶保障“等級保護安全合規,夯實基礎安全能力”的安全需求,結合“以威脅發現為基礎,以分析處置為核心,以發現隱患為關鍵,以推動提升為目標”的安全運營思想,為政企用戶提供“保安式”的“新一代安全服務體系。


“專項基礎安全服務”作為“等保/關?!睍r代安全服務體系的核心基礎部分,依托于啟明星辰集團豐富的安全產品(邊界防護類、安全檢測類、安全審計類、身份認證類、終端安全類、安全管理類)和安全服務構建“安全管理+安全技術”為核心的等保合規體系,助力各單位(組織)深入貫徹落實等級保護工作,提升網絡和信息系統基礎安全防護能力。


3.png

新一代安全服務體系之等保部分架構圖


其中,網絡安全等級保護2.0合規性服務通過為用戶提供專業的等保咨詢和指導,科學幫助用戶梳理需定級/備案的網絡系統,協助用戶完成備案工作;安全技術體系建設服務基于安全技術體系和管理體系建設服務,助力用戶完善安全體系,強化安全防護能力;安全加固服務通過專業的安全基線和配置核查類工具,可以幫助用戶完成安全加固,提升網絡和信息系統各個層面的安全能力。


“以評促建,以評促改,以評促管”,作為專業的網絡安全服務商,啟明星辰集團通過安全評估服務、滲透測試/漏洞挖掘服務,助力用戶及時發現網絡和信息系統安全風險,并針對發現的安全問題進行針對性的建設整改,順利通過等級測評工作,保證網絡和信息系統安全合規。


在等保2.0正式實施一周年之際,啟明星辰將與所有政企客戶一起,通過啟明星辰的“等保安全合規體系”幫助用戶解決在開展等級保護工作中面臨的問題,逐步細化等保工作各階段所需服務內容,通過專項基礎安全服務與各級單位(用戶)協力推動等級保護工作,助力用戶深入貫徹落實網絡安全等級保護制度,攜手用戶共同步入網絡安全發展的新時代。



|文章內容引自于微信公眾號:啟明星辰技術中心|

上一篇 下一篇