中国网络安全等级保护知识全概
等级保护相关知识真是很多
等级保护标准
等级保护定级备案
等级保护差距测评
等级保护安全加固
等级保护测评
等级保护监督检查
等级保护相关资质
1、等级保护标准有哪些?* GB 17859-1999 《计算机信息系统 安全等级保护划分准则》
* GB/T 22240-2020 《信息安全技术 网络安全等级保护定级指南》
* GB/T 22239-2019 《信息安全技术 网络安全等级保护基本要求》
* GB/T 25070-2019 《信息安全技术 网络安全等级保护安全设计技术要求》
* GB/T 28448-2019 《信息安全技术 网络安全等级保护测评要求》
* GB/T 25058-2019 《信息安全技术 网络安全等级保护实施指南》
* GB/T 28449-2018 《信息安全技术 网络安全等级保护测评过程指南》
* GB/T 36959-2018 《信息安全技术 网络安全等级保护测评机构能力要求和评估规范》
* GB/T 36627-2018 《信息安全技术 网络安全等级保护测试评估技术指南》
其他相关法律和规范
* 《中华人民共和国网络安全法》规定必须要做等级保护
* 信息安全测评联盟“网络安全等级保护测评高风险判定指引”(暂未正式发布)
2、等级保护定级备案
1)等级保护定级准备
依照GB/T 22240-2020《信息安全技术 网络安全等级保护定级指南》和上级主管部门要求对信息系统进行定级。信息系统安全包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同,因此,信息系统定级也应由业务信息安全和系统服务安全两方面确定。从业务信息安全角度反映的信息系统安全保护等级称为业务信息安全等级。从系统服务安全角度反映的信息系统安全保护等级称系统服务安全等级。
2)等级保护定级专家评审
等级保护行业相关专家3人,企业方负责等级保护项目的项目经理,网络管理员、运维管理员,应用管理员等。会议过程中,专家可能会对信息系统的基本状况进行询问。如:网络结构,业务主体,服务对象,数据备份情况,安全运维情况等。
专家评审流程:专家签到 → 确定专家组组长 → 定级阐述 → 专家就定级相关问题进行提问 → 专家对定级结果进行讨论 → 修改专家评审意见 → 签字 → 定级评审会议结束。
3)等级保护备案提交资料
第二级以上信息系统,在安全保护等级确定后30日内,由其运营、使用单位或者其主管部门(以下简称“备案单位”)到所在地设区的市级以上公安机关办理备案手续。办理备案手续时,应先与所在地设区的市级以上公安机关办(所在地网安大队)取得联系,询问所需的备案材料,不同地区所需的备案材料不尽相同。
依照网安大队的要求将备案资料准备齐全后,到网安大队进行备案。
备案时应提交的材料(不同地区备案资料不完全一样)
* 定级报告,纸质版一式两份加盖公章 电子版一份刻录光盘(纸质版扫描件)
* 备案表
* 工商营业执照、组织机构代码证和税务登记证 或三证合一,复印件一份加盖公章,原件扫描件刻录光盘。
* 法人身份证,如非法人亲自办理备案则需要法人授权书(法人亲笔签字)、被授权人身份证。
* 网络安全承诺书
* 24小时紧急联系人
* 三级及以上信息系统提供备案表表四中的全部内容。
* 对应管理区网安大队要求提供的其他资料
4)网安部门受理
办理备案前应先与网安支队或网安总队约定好备案时间,并准时到达网安支队或网安总队办理备案。经审核符合等级保护要求的,公安机关应当自收到备案材料之日起的十五个工作日内,将加盖本级公安机关印章(或等级保护专用章)的《备案表》一份反馈备案单位,一份存档;对不符合等级保护要求的,公安机关公共信息网络安全监察部门应当在十个工作日内通知备案单位进行整改,并出具《信息系统安全等级保护备案审核结果通知》。
备案通过的单位,将获得信息系统安全等级保护备案证明。
3、等级保护差距分析
相当于等级保护的差距测评(可选,不强制),对信息系统预先进行的一次模拟测评,目的是发现信息系统安全现状与国家等级保护对应等级安全防护能力之前的差距,出具差距分析报告及整改意见报告。
1)现场访谈
测评工程是在测评过程中需要网络管理员、服务器管理员、数据库管理员、应用管理员等人员进行现场配合,主要的工作方式为:测评工程师说明需要检查哪些相关的安全策略,由客户方的工程师进行操作查询,测评工程师负责记录。人员:网络管理员、服务器管理员、数据库管理员、应用管理员等。文档:公司所有有关的安全管理制度、规范、手册等。
2)渗透测试及漏洞扫描
等级保护二级信息系统需进行漏洞扫描,三级信息系统需进行渗透测试,整改完成需再次进行测试验证,确认漏洞修复有效。
3)差距整改建议
结合企业自身情况进行整改。依据信息安全测评联盟的“网络安全等级保护测评高风险判定指引”进行高风险判定,同时在渗透测试和漏洞扫描中发现的高、中危漏洞必须修复,如漏洞修复会对企业的相关业务造成影响可采用其它方式降低漏洞被利用的可能性,例如限制访问,更改端口号等。信息系统整改时需注意企业所投入的人力、物力、财力,综合考量后再决定整改那些不符合项。4、等级保护安全加固
根据等级保护差距分析结果,出具安全加固及整改建议方案,并根据方案进行整改,包括:系统补丁升级、网络及安全产品配置整改、增加相应的安全产品、各种环境整改、制度评估及整改等。
5、等级保护测评
拥有国家等级测评资质的第三方测评机构对企业的信息系统进行等级测评,并出具等级测评报告,二级一般2年测评一次,三级1年测评一次,其他等级一般涉及不多,暂不做介绍。
1)网络安全等级保护测评的四个阶段
2)网络安全等级保护测评的基本内容
6、等级保护监督检查
公安机关开展等级保护监督检查,其目的在于全面了解掌握各行业、各地区、各单位网络安全等级保护、等级测评、安全建设整改等工作部署和贯彻落实情况,总结开展网络安全等级保护工作的成功经验,查找分析工作中存在的突出问题,督促、指导各备案单位进一步落实网络安全等级保护制度的各项要求,建立健全等级保护监督检查工作的长效机制。检查核实信息系统运营使用、建设单位的等级保护工作开展和落实情况,重点督促、检查安全设施、安全措施、安全管理制度、安全责任、责任部门和人员。
① 等级保护工作组织开展、实施情况。安全责任落实情况,信息系统安全岗位和安全管理人员设置情况;② 按照网络安全法律法规、标准规范的要求制定具体实施方案和落实情况;
③ 信息系统定级情况,信息系统变化及定级变动情况;
④ 设施建设情况和整改情况;
⑤ 网络安全管理制度建设和落实情况;
⑥ 网络安全保护技术措施建设和落实情况;
⑦ 选择使用网络安全产品情况;
⑧ 聘请测评机构按规范要求开展技术测评工作情况,根据测评结果开展整改情况;
⑨ 自行定期开展自查情况;
⑩ 开展网络安全知识和技能培训情况。
7、等级保护相关资质
1)信息安全等级保护安全建设服务机构能力评估合格证书主要面向等级保护安全建设服务方面,此证书对申请企业只有能力限制,无对象限制要求。
除此之外,有些安全厂商为了给客户提供却更专业的安全集成和全生命周期安全服务,还拥有其它业界认可的相关权威资质:
CCRC信息安全集成服务资质认证CCRC信息安全风险评估服务资质认证
国家信息安全测评信息安全服务资质证书(风险评估类)
国家信息安全测评信息安全服务资质证书(安全工程类)
国家信息安全测评信息安全服务资质证书(安全开发类)
工业信息安全应急服务支撑单位证书
主要面向等级保护安全测评服务方面,此证书对申请企业有一定限制,安全产品厂商或软件开发厂商不能申请,不能向用户推荐产品品牌等要求。