888真人平臺

888真人平臺
      888真人平臺網絡等級保護方案

《網絡安全法》于2017年6月1日正式施行,這是我國第一部全面規范網絡空間安全管理方面問題的基礎性法律,是我國網絡空間法治建設的重要里程碑,是依法治網、化解網絡風險的法律重器,是讓互聯網在法治軌道上健康運行的重要保障。
 
2018年6月公安部發布了《網絡安全等級保護條例(征求意見稿)》,網絡安全等級保護陸續有了更有力的政策規則和更細致的法規標準,該條例的發布也標志著國家網絡安全等級保護工作正式進入2.0時代,現在不做等保就是違法了。
 
那么,等保2.0新鮮在哪?監管合規有著怎樣的標準?等保建設實施如何落地?下文將網絡安全法中與等級保護有關的條款進行解讀分析,從網絡安全法角度梳理出我們等級保護工作的重點和核心。同時介紹下在2.0時代等級保護的標準體系和工作流程。


 
 
等保是什么?
 
等保全稱為“網絡安全等級保護”,是指對網絡和信息系統按照重要性等級分級別保護的一種工作。
 
2007年6月,公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室聯合發布《信息安全等級保護管理辦法》(公字【2007】43號文),在全社會范圍內(包括國家單位、企業單位、行業等)推行“信息安全等級保護”政策;
 
2016年11月7日《中華人民共和國網絡安全法》通過,第二十一條明確規定:國家實行網絡安全等級保護制度。2017年6月1日開始正式實施。
 
2018年6月27日,《網絡安全等級保護條例(征求意見稿)》發布,正式宣告等保進入2.0時代。
 
 
為什么必須要做等保?
 
政策合規要求
需要滿足等保合規的行業包括政府機關、金融行業、電信運營商、能源行業、企業單位等。作為國家信息安全的基本制度,開展等級保護工作是企業義不容辭的信息安全義務。
 
什么情況下企業將會處罰:
1.信息系統出現重大安全事故,影響范圍無法自控,國家追究領導責任。
2.企業或行業之間出差等級保護工作落實存在差距,領導職責受到影響。
3.國家監管部門定期檢查企業等級保護工作落實和進展情況。等級保護工作落實較差企業領導績效考核獎受到影響。
4.網絡安全法五十九條規定網絡運營者不履行本法二十一條、二十五條規定的網絡安全保護義務的有關部門責令整改、警告拒不整改或導致網絡安全等后果的處十萬元以上一百萬以下罰款,對直接負責的主管人員處五千以上五萬以下罰款。
 
等保實施意義
1.便于發現相關機構、單位、企業的網絡和信息系統與國家安全標準之間存在的差距,發現系統安全隱患與不足;
2.通過安全整改,有效提高信息安全保障能力和水平,提高網絡安全防護能力,降低系統被攻擊的風險。
3.調動國家、法人、其他組織、公民安全防護積極性,有利于明確信息安全責任,加強企業信息安全管理。
 
 
等保2.0有哪些顯著變化?
 
標準內容變化
基本要求的內容由一個基本要求變更為安全通用要求和安全擴展要求(含云計算、移動互聯、物聯網、工業控制)。在GB/T 22239 網絡安全等級保護基本要求合并為五部分:安全通用要求、云計算安全擴展要求、移動互聯安全擴展要求、物聯網安全擴展要求、工業控制系統安全擴展要求。設計要求(GB/T25070)和測評要求(GB/T28448)也由各自原有的五個分冊分別整合成一冊。
 
標準分類變化
由舊標準的10個分類調整為8個分類,分別為
技術部分:物理和環境安全、網絡和通信安全、設備和計算安全、應用和數據安全;
管理部分:安全策略和管理制度、安全管理機構和人員、安全建設管理、安全運維管理。
 
說明:

等級劃分監管要求
 
說明:

等級保護保護級別
 
 
相關政策標準有哪些?
 
國家標準
《中華人民共和國計算機信息系統安全保護條例》(國務院147號令)
《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發〔2003〕27號)
《信息安全等級保護工作的實施意見》(公通字[2004]66號)
《信息安全技術信息系統安全等級保護實施指南》GB/T 25058-2010
《信息安全等級保護管理辦法》(公通字〔2007〕43號)
《信息安全技術信息系統安全等級保護基本要求》GB/T 22239-2008
《信息安全技術信息系統安全等級保護測評要求》 MSTL-JBZ-05-005
《信息安全技術網絡安全等級保護定級指南》GA/T 1389—2017
《信息安全技術信息系統安全等級保護測評過程指南》GB/T 28449-2012
 
行業相關標準
《金融行業信息安全等級保護測評服務安全指引》
《金融行業信息系統信息安全等級保護測評指南》
《金融行業信息系統信息安全等級保護實施指引》
《人民銀行信息系統信息安全等級保護測評指南(試行)》
《人民銀行信息系統信息安全等級保護實施指引(試行)》
《電信網和互聯網安全等級保護實施指南》
《廣播電視相關信息系統安全等級保護定級指南》
《廣播電視相關信息系統安全等級保護基本要求》
《水利網絡與信息安全體系建設基本技術要求》
《煙草行業信息系統安全等級保護基本要求》
 
?
等保2.0工作內容
 
信息系統定級
企業單位采用“自主定級原則”,遵循國家或行業定級指南對第二級以上信息系統進行定級和備案。
 
說明:
信息系統定級方法
 
信息系統差距分析
通過對現有信息系統的安全現狀調研和測評,發現現有系統存在的問題,同時參考等級保護的要求,找出信息系統和等級保護的差距,為后期的等級保護安全整改方案設計奠定基礎。主要包括:信息系統現狀調研、信息系統現狀測評、信息系統差距分析報告等。
 
信息系統整改方案
根據前期信息系統等級差距分析報告,按照等級保護要求對信息系統進行整改設計,整改設計作為信息系統整改實施的指導,指導信息系統安全建設整改,從而滿足等級保護要求。
主要包括:應用安全整改、主機安全整改、數據安全整改、網絡安全整改、物理安全整改、管理制度整改等
 
信息系統正式測評
信息系統整改建設完成后,對整個信息系統進行正式的等級測評,驗證信息系統是否滿足信息系統等級保護要求。
 
信息系統測評要求:

  • 三級信息系統要求每年進行一次信息安全等級保護測評。
  • 四級信息系統要求每半年進行一次信息安全等級保護測評。
  • 網絡安全保護條例新要求三級以上系統每年進行一次等保測評,四級系統測評工作量縮小
  • 新上線信息系統在正式運營之前要求進行一次信息安全等級保護測評。
  • 信息系統在運維階段出現重大調整,例如信息系統結構、功能等方面出現重大調整,要求進行一次信息安全等級保護測評。
 
等保2.0工作流程
 
 
各階段實施過程中,可參考的規范性標準依據如下
 
系統定級階段:《信息系統安全保護等級定級指南》
安全保護:《信息系統安全等級保護基本要求》、《信息系統安全等級保護實施指南》
檢測評估:《信息系統安全等級保護基本要求》、《信息系統安全等級保護測評準則》、相關行業標準、用戶自身業務安全需求
監督檢查:《信息系統安全等級保護監督檢查要求》
「等級保護要求--技術要求和管理要求」
 

案例實踐
 

憑借等保2.0實施思路,河北888真人平臺網絡聯合專業測評機構為邯鄲市交通局門戶網站和OA辦公系統提供等保測評服務,通過物理安全、網絡安全、主機安全、應用安全、數據安全、安全管理制度、人員安全管理、系統建設及運維等單元測評,了解了系統的安全保護真實狀況,及時發現安全問題并形成綜合測評報告,并為客戶提供了相應的安防建議和解決方案,幫助客戶完成了定級備案、差距分析、方案設計、整改加固、等保測評和等保運維的全部流程,順利通過信息安全等級保護二級測評。

 
 
QQ在線咨詢
售前咨詢熱線
0310-2058008
售后咨詢熱線
0310-2058009
  • 友情鏈接:
  • ©2019888真人網址(shyishuang.com) 版權所有 滬ICP備09010274號-1
    顶呱刮西游记