网络安全等级保护:网络产品和服务安全通用要求之一般安全要求
在我国境内销售或提供的所有网络产品和服务必须满足一般安全要求,其中网络关键设备和网络安全专用产品还必须满足增强安全要求。网络关键设备和网络安全专用产品范围,具体参照国家互联网信息办公室、工业和信息化部、公安部、国家认证认可监督管理委员会联合印发的《关于发布<网络关键设备和网络安全专用产品目录>的公告》。网络关键设备和网络安全专用产品试看《网络关键设备和网络安全专用产品目录(第一批)》详细如下:
一般安全要求
a) 在网络产品和服务的设计、开发环节识别安全风险,制定安全策略,采取适当的安全措施保障关键组件的设计和开发安全,网络产品和服务在交付前必须进行了安全性测试,控制安全风险;
b) 建立和执行针对网络产品和服务安全缺陷、漏洞的应急响应机制和流程;
c) 在发现网络产品和服务存在安全缺陷、漏洞时,立即采取修复或替代方案等补救措施,按照国家网络安全监测预警和信息通报制度等规定,及时告知用户安全风险,并向有关主管部门报告。
g) 制定个人信息泄露应急预案,当发生个人信息泄露事件时,采取有效措施降低用户的损失。
文章开始,我们提到了在我国境内销售或提供的所有网络产品和服务必须满足一般安全要求,其中网络关键设备和网络安全专用产品还必须满足增强安全要求。也就是在我国所有网络产品和服务皆需要满足一般安全要求,同时,我也经常强调一点,那就是在网络安全等级保护测评中如何理解每条测评的要求,不能根据脑海中的一些浅薄知识望文生义,尽量能够以标准释标准。在实际操作中,无论是建设整改方案时期还是等级测评时期,充分理解标准要求,既可以满足合规性,也可以避免客户过度投入。
网络安全等级保护是一个网络安全领域合规的一个基本条件,而网络安全等级保护是体系化的工作,需要安全监管部门、行业主管单位(部门)、安全服务商、网络运营者、测评机构多方参与,而又需要各司其职。充分理解等级保护工作的重要性的同时,也需要各方都对等级保护有个充分的认知,同时各方又能提供足够专业符合等级保护工作的服务及售后服务。
-
《信息安全技术 网络产品和服务安全通用要求》 -
网络关键设备和网络安全专用产品目录(第一批) -
《信息技术服务运行维护 第1部分:通用要求》 -
《信息技术服务 运行维护 第2部分:交付规范》 -
《信息技术服务运行维护第3部分:应急响应规范》
-
《信息安全技术信息安全服务分类》等