解读等保2.0
发布时间:2018-05-18
随着《网络安全法》的颁发和实施,就有业内人士表示“不做等保就是违法了”,此话源于何处,接下来为大家解读下等保2.0。
自《网络安全法》颁布实施之后,等级保护的变化和差异较之前相比还是非常明显的。以前我们感受最深的是支撑等级保护的都是政令、条例等形式的行政管理规范和标准,现如今,等级保护上升到了法律层面,也是从政府层面上升到国家层面的一个跃升。
《网络安全法》的出台实施,使得我们网络安全等级保护工作有了新的认知和了解,方向也更明确了,而紧随着《网络安全法》出台的一系列新标准,我们也初窥其貌焕然一新。而在等级保护2.0即将全面展开的今天,我们更有理由加强网络安全等级保护工作的学习,储备网络安全等级保护2.0的知识与经验。当然我们谈及的学习,不仅仅是网络信息系统的建设单位、运营、使用单位,还包括为各个主体单位建设网络系统的承建单位,只有更深入的理解了等级测评概念、内涵以及流程、基本方法,才能更好的建设服务网络安全等级保护的网络信息系统,更好的服务委托我们建设系统的单位。
等级保护基本概念
网络安全等级保护是指对网络(含信息系统、数据,下同)实施分等级保护、分等级监管,对网络中使用的网络安全产品实行按等级管理,对网络中发生的安全事件分等级响应、处置。“网络”是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统,包括网络设施、信息系统、数据资源等。
网络安全等级保护工作的内涵
网络安全等级保护工作的内涵在本段内容中展开如下,其中我们看到此处涉及到信息安全工作的整个流程的五个环节,定级、备案、建设整改、等级测评、监督检查。网络安全等级保护是对网络进行分等级保护、分等级监管,是将信息网络、信息系统、网络上的数据和信息,按照重要性和遭受损坏后的危害性分成五个安全保护等级(从第一级到第五级,逐级增高);等级确定后,第二级(含)以上网络到公安机关备案,公安机关对备案材料和定级准确性进行审核,审核合格后颁发备案证明;备案单位根据网络的安全等级,按照国家标准开展安全建设整改,建设安全设施、落实安全措施、落实安全责任、建立和落实安全管理制度;选择符合国家要求的测评机构开展等级测评;公安机关对第二级网络进行指导,对第三、第四级网络定期开展监督、检查。
开展网络安全等级保护工作的流程
根据学习《信息安全等级保护管理办法》的规定,了解到等级保护工作主要分为五个环节,分别是定级、备案、建设整改、等级测评和监督检查。开展网络安全等级保护工作,涉及公安机关、保密部门、密码管理部门、网信部门等职能部门,以及网络运营者、第三方测评机构、网络安全企业、专家队伍等。各方应按照国家网络安全等级保护制度要求,按照职责和分工,找准各自定位,密切配合,共同落实《网络安全法》和网络安全等级保护制度,依法维护网络安全。开展网络安全等级保护工作的流程如下。
网络安全等级保护制度是国家网络安全的基本制度、基本国策网络安全等级保护是党中央、国务院决定在网络安全领域实施的基本国策。
由公安部牵头,经过十多年的探索和实践,网络安全等级保护的政策、标准体系已经基本形成,并已在全国范围内全面实施。
网络安全等级保护制度是国家网络安全工作的基本制度,是实现国家对重要网络、信息系统、数据资源实施重点保护的重大措施,是维护国家关键信息基础设施的重要手段。网络安全等级保护制度的核心内容是:国家制定统一的政策、标准;各单位、各部门依法开展等级保护工作;有关职能部门对网络安全等级保护工作实施监督管理。
《网络安全法》规定国家实行网络安全等级保护制度,标志着从1994年的国务院条例(国务院令第147号)上升到国家法律;标志着国家实施十余年的信息安全等级保护制度进入2.0阶段;标志着以保护国家关键信息基础设施安全为重点的网络安全等级保护制度依法全面实施。
网络安全等级保护制度是新时期国家网络安全的基本制度、基本国策,我们将构建网络安全等级保护新的法律和政策体系、新的标准体系、新的技术支撑体系、新的人才队伍体系、新的教育训练体系和新的保障体系。
网络安全等级保护是网络安全工作的基本方法
网络安全等级保护也是国家网络安全工作的基本方法。网络安全等级保护工作的目标就是维护国家关键信息基础设施安全,维护重要网络设施、重要信息系统、重要数据的安全。等级保护制度提出了一整套安全要求,贯穿网络和信息系统的设计、开发、实现、运维、废弃等系统工程的整个生命周期,引入了测评技术、风险评估、灾难备份、应急处置等技术。
按照等级保护制度中规定的“定级、备案、建设、测评、检查”这五个规定动作,各单位、各部门开展网络安全工作。
先对所属网络、信息系统和数据开展调查摸底,再对网络进行定级。定级后,第二级以上网络要到公安机关备案,然后按标准进行安全建设整改,开展等级测评。公安机关对网络安全工作开展监督管理,按照不同的网络级别实施不同强度的监管,对进入重要信息系统的测评机构及信息安全产品分等级进行管理,比如,安全产品---尚思堡垒机满足国家信息安全三级等保要求,一个好的安全产品是信息系统的安全保障,同时也要通过开展一系列重点工作,采取一系列重要的安全管理和技术措施,将网络安全工作落到实处。