如何深入贯彻落实网络安全等级保护制度
等保2.0“三大核心”标准实施
如何深入贯彻落实网络安全等级保护制度
A
2020年2月,教育部办公厅印发《2020年教育信息化和网络安全工作要点》,要求各直属单位加强网络安全防护和保障能力,落实国家网络安全等级保护2.0的相关要求,健全相关工作机制和技术标准;
B
2020年6月,自然资源部印发《2020年自然资源部网络安全与信息化工作要点》,要求各级自然资源部门加强自然资源网络与信息化安全,提升网络安全防护能力,落实网络安全等级保护制度;
……
-
业务系统迁移上云如何定级,去哪里定级备案?
-
系统迁移上云或进行托管,无需开展等级保护工作?
-
系统定级流程不规范,如内网系统不定级、为规避监管三级系统定二级;
-
单位多个系统打包成一个系统进行定级;
-
将等级保护定级备案与“通过”等级测评混淆;
-
等级测评就是等级保护工作的全部;
-
等级测评结论具有永久性;
-
保证等级测评得分够70分即可,忽略高风险存在;
-
等级测评发现问题整改费用高,投资回报率底;
-
标准理解不到位,将“等保2.0”与“等保三级”混淆;
-
……
01
明确工作目标
02
了解工作方向
03
细化工作内容
1 网络安全等级保护工作目标
2 网络安全等级保护工作方向
-
应用可信计算、商用密码等新技术,开展安全建设和整改加固;
-
网络和信息系统迁移上云获取专业化、集约化安全防护措施及能力;
-
网络安全服务外包,由网络安全服务商提供专业安全服务提升系统安全防护能力;
-
“内生安全”、“主动免疫”等技术,提升网络和信息系统主动防御能力;
-
保障供应链安全,采取严格有效措施对网络系统的建设、设计、运维、服务等方面进行管控,加强人员的管理,评估风险;
-
采购产品和服务一定要符合要求,符合国家要求;
-
参照行业内优秀安全解决方案积极推动等保2.0建设;
-
……
-
第三级及以上新建网络和信息系统应通过等级测评后再投入使用;
-
对于已运行的网络和信息系统应定期开展测评,及时发现安全问题并进行建设整改;
-
网络和系统发生安全事件或日常巡检发现高风险问题时应及时进行安全评估,避免发生安全事件。
3 网络安全等级保护工作内容
-
网络安全等级保护2.0合规性服务(定级备案指导、测评指导);
-
安全技术体系建设服务;
-
安全管理体系建设服务;
-
安全加固服务;
-
渗透测试/漏洞挖掘服务;
-
安全评估服务(风险评估、检测评估、合规性差距分析);
-
网络安全等级保护2.0合规性服务通过专业的等保咨询和指导,科学的帮助用户梳理需定级/备案的网络系统,同时协助用户完成备案工作; -
“网络安全能力的建设依托于体系”,基于安全技术体系和管理体系建设服务助力用户完善安全体系,强化安全防护能力; -
安全加固服务通过专业的安全基线和配置核查类工具帮助用户完成安全加固,提升网络和信息系统各个层面的安全能力; -
“以评促建,以评促改,以评促管”,作为专业的网络安全服务商,通过安全评估服务、渗透测试/漏洞挖掘服务,助力用户及时发现网络和信息系统安全风险,并针对发现的安全问题进行针对性的建设整改,顺利通过等级测评工作,保证网络和信息系统安全合规。
网络安全等级保护是一项系统性工程,在实施的一年时间里陆续规范定级、备案、建设整改、监督检查五项规定工作内容。针对当前深入贯彻落实等级保护制度的工作目标和方向,“等保安全合规体系”以解决用户在开展等级保护工作中面临的问题为导向,细化等保工作各阶段所需服务内容,通过专项基础安全服务与各级单位(用户)协力推动等级保护工作,助力网络运营者深入贯彻落实网络安全等级保护制度。