其他
一周年 | 如何深入贯彻落实网络安全等级保护制度
出品丨自主可控新鲜事
本文内容来源于启明星辰技术中心
正文共3770,建议阅读时间10分钟
等保2.0“三大核心”标准实施
如何深入贯彻落实网络安全等级保护制度
A
2020年2月,教育部办公厅印发《2020年教育信息化和网络安全工作要点》,要求各直属单位加强网络安全防护和保障能力,落实国家网络安全等级保护2.0的相关要求,健全相关工作机制和技术标准;
B
2020年6月,自然资源部印发《2020年自然资源部网络安全与信息化工作要点》,要求各级自然资源部门加强自然资源网络与信息化安全,提升网络安全防护能力,落实网络安全等级保护制度;
2020年11月,中国人民银行正式批准发布金融行业标准《金融行业网络安全等级保护实施指引》(JR/T 0071-2020),指导金融行业各单位、各部门实施网络安全等级保护工作,完善金融行业网络安全等级保护体系;
……
业务系统迁移上云如何定级,去哪里定级备案? 系统迁移上云或进行托管,无需开展等级保护工作? 系统定级流程不规范,如内网系统不定级、为规避监管三级系统定二级; 单位多个系统打包成一个系统进行定级; 将等级保护定级备案与“通过”等级测评混淆; 等级测评就是等级保护工作的全部; 等级测评结论具有永久性; 保证等级测评得分够70分即可,忽略高风险存在; 等级测评发现问题整改费用高,投资回报率底; 标准理解不到位,将“等保2.0”与“等保三级”混淆; ……
01
明确工作目标
02
了解工作方向
03
细化工作内容
1 网络安全等级保护工作目标
2定期开展网络安全等级测评
对已定级备案网络的安全性进行检测评估,第三级以上网络运营者委托符合国家有关规定的等级测评机构每年开展网络安全等级测评。公安机关加强对本地等级测评机构的监督管理,确保等级测评过程客观、公正、安全。
3科学开展安全建设整改
4强化安全责任落实
按照“谁主管谁负责、谁运营谁负责”的原则,厘清网络安全保护边界,建立网络安全等级保护工作责任制。
5科学开展安全建设整改
加强网络关键人员的安全管理,采购、使用符合国家法律法规和有关标准规范要求的网络产品及服务。
6强化安全责任落实
第三级以上网络运营者在网络规划、建设和运行阶段,按照密码应用安全性评估管理办法和相关标准,在网络安全等级测评中同步开展密码应用安全性评估。
2 网络安全等级保护工作方向
01 定级备案
2020年11月1日起,网络安全等级保护定级指南(下称“定级指南”)正式实施,网络运营者应根据定级指南将保护对象梳理清楚,科学确定等级,未定级的系统开展定级备案工作,定级不准系统根据定级指南要求及时调整安全等级。第二级及以上的网络和信息系统应到公安机关备案(县级公安机关)、审核。特别是针对采用下列新技术、新应用的网络和信息系统应合理进行定级:02 建设整改
随着“关口前移”、“安全左移”等安全建设理念的提出,对于新建网络和信息系统在开展安全建设时要依据基本要求、设计技术要求和测评要求等国家标准落实“三同步”要求,同时根据等级保护“一个中心、三重防护”的安全防护理念构建安全防护体系。针对新建网络和信息系统,在落实安全防护措施时应考虑以下安全技术:应用可信计算、商用密码等新技术,开展安全建设和整改加固; 网络和信息系统迁移上云获取专业化、集约化安全防护措施及能力; 网络安全服务外包,由网络安全服务商提供专业安全服务提升系统安全防护能力; “内生安全”、“主动免疫”等技术,提升网络和信息系统主动防御能力; 保障供应链安全,采取严格有效措施对网络系统的建设、设计、运维、服务等方面进行管控,加强人员的管理,评估风险; 采购产品和服务一定要符合要求,符合国家要求; 参照行业内优秀安全解决方案积极推动等保2.0建设; ……
03 等级测评
网络运营者应依据网络安全等级保护测评要求等有关标准开展等级测评、风险评估,第三级及以上的网络和信息系统每年开展一次等级测评工作,并对测评中发现的安全问题进行及时整改。此外,应注意下列三点:第三级及以上新建网络和信息系统应通过等级测评后再投入使用; 对于已运行的网络和信息系统应定期开展测评,及时发现安全问题并进行建设整改; 网络和系统发生安全事件或日常巡检发现高风险问题时应及时进行安全评估,避免发生安全事件。
04 监督检查
监督检查主要核实网络和信息系统运营使用、建设单位的等级保护工作开展和落实情况,重点督促、检查安全设施、安全措施、安全管理制度、安全责任、责任部门和人员。检查的核心内容有:3 网络安全等级保护工作内容
网络安全等级保护2.0合规性服务(定级备案指导、测评指导); 安全技术体系建设服务; 安全管理体系建设服务; 安全加固服务; 渗透测试/漏洞挖掘服务; 安全评估服务(风险评估、检测评估、合规性差距分析);
网络安全等级保护2.0合规性服务通过专业的等保咨询和指导,科学的帮助用户梳理需定级/备案的网络系统,同时协助用户完成备案工作; “网络安全能力的建设依托于体系”,基于安全技术体系和管理体系建设服务助力用户完善安全体系,强化安全防护能力; 安全加固服务通过专业的安全基线和配置核查类工具帮助用户完成安全加固,提升网络和信息系统各个层面的安全能力; “以评促建,以评促改,以评促管”,作为专业的网络安全服务商,启明星辰通过安全评估服务、渗透测试/漏洞挖掘服务,助力用户及时发现网络和信息系统安全风险,并针对发现的安全问题进行针对性的建设整改,顺利通过等级测评工作,保证网络和信息系统安全合规。
网络安全等级保护是一项系统性工程,在实施的一年时间里陆续规范定级、备案、建设整改、监督检查五项规定工作内容。针对当前深入贯彻落实等级保护制度的工作目标和方向,“等保安全合规体系”以解决用户在开展等级保护工作中面临的问题为导向,细化等保工作各阶段所需服务内容,通过专项基础安全服务与各级单位(用户)协力推动等级保护工作,助力网络运营者深入贯彻落实网络安全等级保护制度。
>>>金融信创专题—报告篇|最全银行IT研究框架>>>信创产业一周摘要(11.2-11.6)>>>国产化替代势在必行:2020年中国半导体材料行业发展报告>>>收藏:存储和服务器技术知识>>>等保2.0定级指南正式实施,定级需要专家评审>>>信创产业一周摘要(10.26-10.30)>>>威盛宣布出售x86技术给上海兆芯>>>2021年山东省政府集中采购目录及标准发布>>>升级!美国禁运光刻、5nm技术>>>信创产业一周摘要(10.19-10.23)>>>信创招标结果疑云:股价双跌,中国软件、统信软件谁拿到了“免死金牌”?>>>李国杰院士:要形成以产业技术为导向的科技文化>>>观察|发改委回应芯片项目烂尾:谁支持,谁负责!
>>>2020,国产数据库蓬勃发展之下的冷思考>>>美国发布《关键与新兴技术国家战略》(附完整技术清单)>>>行业|元心科技与乐凡信息科技联合开发正式启动>>>信创项目大量落地,国产数据库快速崛起>>>国产自研芯片的“大突围”:所有IP全自主国产,中芯国际先进制程迎来突破>>>中国-东盟数字经济产业园开工 打造“中国信创第一园”>>>转需|入围中央直属机关单位采购项目供应商名录>>>行业 | 中芯国际确认受美国出口管制 部分原材料供应受影响>>>教育部:以超常规方式加快培养一批紧缺人才 为国家解决“卡脖子”问题做贡献>>>关于加快推进国有企业数字化转型工作的通知>>>重磅!《不可靠实体清单规定》正式发布>>>中芯国际:继续供货华为>>>已被证实!英伟达斥资 400 亿美元收购 Arm>>>习近平在科学家座谈会上的讲话(全文)>>>突发!全球前三大芯片制造商都将停止向华为出售芯片>>>安全为先,云启武汉!中国电子云正式发布>>>科技落后,莫再归结于“起步晚”>>>全省造芯热背后:中国芯片恨铁不成钢,举国之力用错地方>>>文印安全:企业内部的“新基建”>>>收藏丨国产信息基础软硬件行业深度报告>>>国产CPU按下“快进键”>>>反思华为,无“根”之痛>>>沸腾的十年大潮:投资人眼中的国产替代>>>为什么说BMC才是国产服务器的“命门”?>>>湖南大学教授张吉良:自主可控并不能保障安全>>>盗版才是扼杀软件行业核心技术的元凶>>>重磅丨《2019网信自主创新调研报告》正式发布 (附文件)>>>公安部五亿元大标来袭!相关产品全部要求采购国产>>>重磅!突破美国封锁,国产操作系统“天赐”即将诞生,火爆知乎>>>80%打印泄密事件涉及商业机密!打印流程该如何“保密”?>>>国产芯片制造有多烂?十年饮冰,热血难凉>>>181页报告全景揭秘中国电子产业崛起!(附下载)>>>国产操作系统即将迎来爆发式增长