亚洲第一色欲AV|丰满无码人妻热妇无码喷水区|日韩成人一区二区|情五月亚洲天堂网

安全資訊

如何深入貫徹落實網絡安全等級保護制度

【時間】2020-12-02

【編輯】Admin

【瀏覽量】

【等級保護QQ交流群】881590869

等保2.0“三大核心”標準實施

如何深入貫徹落實網絡安全等級保護制度


2019年12月1日起,網絡安全等級保護“三大核心”標準(基本要求、測評要求、實施要求)正式實施,網絡安全等級保護工作進入2.0時代。



網絡安全等級保護系列標準發(fā)布、實施的一年時間里,各行業(yè)(各單位、各部門)陸續(xù)推進網絡安全等級保護工作:

A

2020年2月,教育部辦公廳印發(fā)《2020年教育信息化和網絡安全工作要點》,要求各直屬單位加強網絡安全防護和保障能力,落實國家網絡安全等級保護2.0的相關要求,健全相關工作機制和技術標準;

B

2020年6月,自然資源部印發(fā)《2020年自然資源部網絡安全與信息化工作要點》,要求各級自然資源部門加強自然資源網絡與信息化安全,提升網絡安全防護能力,落實網絡安全等級保護制度;

2020年11月,中國人民銀行正式批準發(fā)布金融行業(yè)標準《金融行業(yè)網絡安全等級保護實施指引》(JR/T 0071-2020),指導金融行業(yè)各單位、各部門實施網絡安全等級保護工作,完善金融行業(yè)網絡安全等級保護體系;

……

2020年7月,公安部研究制定《貫徹落實網絡安全等級保護制度和關鍵信息基礎設施安全保護制度指導意見》【(公網安2020】1960號文)(下稱指導意見)】,要求各行業(yè)、各部門結合工作實際,認真參照執(zhí)行指導意見相關要求,深入貫徹實施網絡安全等級保護制度,深入推進網絡安全等級保護定級備案、等級測評、安全建設和檢查等基礎工作。
網絡安全等級保護2.0工作實施一年以來,盡管各行業(yè)積極推動等級保護工作開展,但仍存在一些問題,如:

  • 業(yè)務系統(tǒng)遷移上云如何定級,去哪里定級備案?

  • 系統(tǒng)遷移上云或進行托管,無需開展等級保護工作?

  • 系統(tǒng)定級流程不規(guī)范,如內網系統(tǒng)不定級、為規(guī)避監(jiān)管三級系統(tǒng)定二級;

  • 單位多個系統(tǒng)打包成一個系統(tǒng)進行定級;

  • 將等級保護定級備案與“通過”等級測評混淆;

  • 等級測評就是等級保護工作的全部;

  • 等級測評結論具有永久性;

  • 保證等級測評得分夠70分即可,忽略高風險存在;

  • 等級測評發(fā)現(xiàn)問題整改費用高,投資回報率底;

  • 標準理解不到位,將“等保2.0”與“等保三級”混淆;

  • ……

針對當前存在的問題,各單位、各部門究竟該如何深入貫徹落實網絡安全等級保護制度,提升網絡和信息系統(tǒng)安全防護力呢?本文通過三部分內容介紹如何深入貫徹落實網絡安全等級保護制度。

01

明確工作目標

02

了解工作方向

03

細化工作內容




1 網絡安全等級保護工作目標

指導意見針對深入貫徹落實網絡安全等級保護制度提出下列工作目標:

1
深化網絡定級備案工作


全面梳理包括云計算、物聯(lián)網、新型互聯(lián)網、大數據、智能制造等新技術應用在內的運營者全部網絡情況,科學確定保護等級,依法向公安機關備案。行業(yè)主管部門依據《網絡安全等級保護定級指南》國家標準,結合行業(yè)特點制定行業(yè)網絡安全等級保護定級指導意見。

2
定期開展網絡安全等級測評


對已定級備案網絡的安全性進行檢測評估,第三級以上網絡運營者委托符合國家有關規(guī)定的等級測評機構每年開展網絡安全等級測評。公安機關加強對本地等級測評機構的監(jiān)督管理,確保等級測評過程客觀、公正、安全。

3
科學開展安全建設整改


運營者在網絡建設和運營過程中應同步規(guī)劃、同步建設、同步使用網絡安全保護措施,可通過網絡遷移上云或網絡安全服務外包方式充分利用網絡安全服務商提升網絡安全保護能力。

4
強化安全責任落實


按照“誰主管誰負責、誰運營誰負責”的原則,厘清網絡安全保護邊界,建立網絡安全等級保護工作責任制。

5
科學開展安全建設整改


加強網絡關鍵人員的安全管理,采購、使用符合國家法律法規(guī)和有關標準規(guī)范要求的網絡產品及服務。

6
強化安全責任落實


第三級以上網絡運營者在網絡規(guī)劃、建設和運行階段,按照密碼應用安全性評估管理辦法和相關標準,在網絡安全等級測評中同步開展密碼應用安全性評估。

2 網絡安全等級保護工作方向

01  定級備案

2020年11月1日起,網絡安全等級保護定級指南(下稱“定級指南”)正式實施,網絡運營者應根據定級指南將保護對象梳理清楚,科學確定等級,未定級的系統(tǒng)開展定級備案工作,定級不準系統(tǒng)根據定級指南要求及時調整安全等級。第二級及以上的網絡和信息系統(tǒng)應到公安機關備案(縣級公安機關)、審核。特別是針對采用下列新技術、新應用的網絡和信息系統(tǒng)應合理進行定級:

02  建設整改

隨著關口前移”、“安全左移”等安全建設理念的提出,對于新建網絡和信息系統(tǒng)在開展安全建設時要依據基本要求、設計技術要求和測評要求等國家標準落實“三同步”要求,同時根據等級保護“一個中心、三重防護”的安全防護理念構建安全防護體系。針對新建網絡和信息系統(tǒng),在落實安全防護措施時應考慮以下安全技術

  • 應用可信計算、商用密碼等新技術,開展安全建設和整改加固;

  • 網絡和信息系統(tǒng)遷移上云獲取專業(yè)化、集約化安全防護措施及能力;

  • 網絡安全服務外包,由網絡安全服務商提供專業(yè)安全服務提升系統(tǒng)安全防護能力;

  • 內生安全”、“主動免疫等技術,提升網絡和信息系統(tǒng)主動防御能力;

  • 保障供應鏈安全,采取嚴格有效措施對網絡系統(tǒng)的建設、設計、運維、服務等方面進行管控,加強人員的管理,評估風險;

  • 采購產品和服務一定要符合要求,符合國家要求;

  • 參照行業(yè)內優(yōu)秀安全解決方案積極推動等保2.0建設;

  • ……

此外,《中華人民共和國密碼法》自2020年1月1日起施行,網絡運營者應按照《密碼法》要求,正確、有效采用密碼技術對網絡和信息系統(tǒng)進行安全保護;針對第三級以上的網絡和信息系統(tǒng)應將等級保護工作和商用密碼應用安全性評估工作進行銜接,保證網絡和信息系統(tǒng)的安全性、合規(guī)性以及商用密碼應用的有效性。

03  等級測評

網絡運營者應依據網絡安全等級保護測評要求等有關標準開展等級測評、風險評估,第三級及以上的網絡和信息系統(tǒng)每年開展一次等級測評工作,并對測評中發(fā)現(xiàn)的安全問題進行及時整改。此外,應注意下列三點:

  • 第三級及以上新建網絡和信息系統(tǒng)應通過等級測評后再投入使用;

  • 對于已運行的網絡和信息系統(tǒng)應定期開展測評,及時發(fā)現(xiàn)安全問題并進行建設整改;

  • 網絡和系統(tǒng)發(fā)生安全事件或日常巡檢發(fā)現(xiàn)高風險問題時應及時進行安全評估,避免發(fā)生安全事件。

04  監(jiān)督檢查

監(jiān)督檢查主要核實網絡和信息系統(tǒng)運營使用、建設單位的等級保護工作開展和落實情況,重點督促、檢查安全設施、安全措施、安全管理制度、安全責任、責任部門和人員。檢查的核心內容有:

3 網絡安全等級保護工作內容

安徽靈狐科技作為一家等保2.0解決方案單位,能夠為用戶提供全方位的網絡安全等級保護服務以及等級保護落地實施、支撐工作。為推動網絡安全等級保護工作的深入貫徹落實,我們基于用戶安全需求及安全目標,結合安全運營的思想,為政企用戶提供“保安式”的“新一代安全服務體系”。
安全需求:
保障等級保護安全合規(guī),夯實基礎安全能力!
安全目標:
提升安全防護能力,盡可能規(guī)避安全風險!
安全運營思想:
以威脅發(fā)現(xiàn)為基礎,以分析處置為核心,以發(fā)現(xiàn)隱患為關鍵,以推動提升為目標!
“專項基礎安全服務”作為“等保/關?!睍r代安全服務體系的核心基礎部分,依托于豐富的安全產品(邊界防護類、安全檢測類、安全審計類、身份認證類、終端安全類、安全管理類)和傳統(tǒng)安全服務構建“安全管理+安全技術”為核心的等保合規(guī)體系,助力各單位(組織)深入貫徹落實等級保護工作,提升網絡和信息系統(tǒng)基礎安全防護能力。
新一代安全服務體系之等保部分架構圖
專項基礎安全服務包括的內容有

  • 網絡安全等級保護2.0合規(guī)性服務(定級備案指導、測評指導);

  • 安全技術體系建設服務;

  • 安全管理體系建設服務;

  • 安全加固服務;

  • 滲透測試/漏洞挖掘服務;

  • 安全評估服務(風險評估、檢測評估、合規(guī)性差距分析)

   ……
各類安全服務主要內容和目的:
  • 網絡安全等級保護2.0合規(guī)性服務通過專業(yè)的等保咨詢和指導,科學的幫助用戶梳理需定級/備案的網絡系統(tǒng),同時協(xié)助用戶完成備案工作
  • “網絡安全能力的建設依托于體系”,基于安全技術體系和管理體系建設服務助力用戶完善安全體系,強化安全防護能力;
  • 安全加固服務通過專業(yè)的安全基線和配置核查類工具幫助用戶完成安全加固,提升網絡和信息系統(tǒng)各個層面的安全能力;
  • “以評促建,以評促改,以評促管”,作為專業(yè)的網絡安全服務商,通過安全評估服務、滲透測試/漏洞挖掘服務,助力用戶及時發(fā)現(xiàn)網絡和信息系統(tǒng)安全風險,并針對發(fā)現(xiàn)的安全問題進行針對性的建設整改,順利通過等級測評工作,保證網絡和信息系統(tǒng)安全合規(guī)。

   網絡安全等級保護是一項系統(tǒng)性工程,在實施的一年時間里陸續(xù)規(guī)范定級、備案、建設整改、監(jiān)督檢查五項規(guī)定工作內容。針對當前深入貫徹落實等級保護制度的工作目標和方向,“等保安全合規(guī)體系”以解決用戶在開展等級保護工作中面臨的問題為導向,細化等保工作各階段所需服務內容,通過專項基礎安全服務與各級單位(用戶)協(xié)力推動等級保護工作,助力網絡運營者深入貫徹落實網絡安全等級保護制度。

服務熱線

138-6598-3726

產品和特性

價格和優(yōu)惠

安徽靈狐網絡公眾號

微信公眾號