網(wǎng)絡(luò)安全等級保護(hù)是我國信息安全保障的基本法律、基本制度、基本策略和基本方法。
網(wǎng)絡(luò)安全等級保護(hù)是指對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實(shí)行安全保護(hù),對信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級管理,對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)、處置。
網(wǎng)絡(luò)安全等級保護(hù)工作是對等級保護(hù)對象按照重要性等級分級別進(jìn)行保護(hù)的一種工作。等級保護(hù)對象的網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)選擇符合國家要求的測評機(jī)構(gòu),依據(jù)《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》等技術(shù)標(biāo)準(zhǔn),定期對信息系統(tǒng)開展測評工作。
等級保護(hù)對象?是指網(wǎng)絡(luò)安全等級保護(hù)工作中的對象,通常是指由計算機(jī)或者其他信息終端及相關(guān)設(shè)備組成的按照一定的規(guī)則和程序?qū)π畔⑦M(jìn)行收集、存儲、傳輸、交換、處理的系統(tǒng),主要包括基礎(chǔ)信息網(wǎng)絡(luò)、云計算平臺/系統(tǒng)、大數(shù)據(jù)應(yīng)用/平臺/資源、物聯(lián)網(wǎng)(IoT)、工業(yè)控制系統(tǒng)和采用移動互聯(lián)技術(shù)的系統(tǒng)等。
南京國云電力有限公司作為獲得等級保護(hù)測評機(jī)構(gòu)認(rèn)定的企業(yè),在等級保護(hù)服務(wù)實(shí)踐中形成了等保全生命周期服務(wù),從定級備案咨詢、安全建設(shè)整改、等級保護(hù)測評、到監(jiān)督檢查整改均能夠提供專業(yè)的服務(wù),在輔助企業(yè)完成等級保護(hù)建設(shè)工作的同時,實(shí)際提升系統(tǒng)運(yùn)營使用單位的信息安全防護(hù)能力。
根據(jù)《信息安全等級保護(hù)管理辦法》的規(guī)定, 等級保護(hù)作主要分為五個環(huán)節(jié),分別是定級、備案、建設(shè)整改、等級測評和監(jiān)督儉查。開展網(wǎng)絡(luò)安全等級保護(hù)工作,涉及公安機(jī)關(guān)、保密部門、密碼管理部門、網(wǎng)信部門等職能部門, 以及網(wǎng)絡(luò)運(yùn)營者、第三方測評機(jī)構(gòu)、網(wǎng)絡(luò)安全企業(yè)、專家隊伍等。各方應(yīng)按照國家網(wǎng)絡(luò)安全等級保護(hù)制度要求, 按照職責(zé)和分工, 找準(zhǔn)各自定位, 密切配合, 共同落實(shí)《網(wǎng)絡(luò)安全法》和網(wǎng)絡(luò)安全等級保護(hù)制度, 依法維護(hù)網(wǎng)絡(luò)安全。開展網(wǎng)絡(luò)安全等級保護(hù)工作的流程如下。
一是定級。網(wǎng)絡(luò)運(yùn)營者根據(jù)《網(wǎng)絡(luò)安全等級保護(hù)定級指南》擬定網(wǎng)絡(luò)的安全保護(hù)等級,組織召開專家評審會,對初步定級結(jié)果的合理性進(jìn)平審,出具專家評審意見, 將初步定級結(jié)果上報行業(yè)主管部門進(jìn)行審核。
二是備案。網(wǎng)絡(luò)運(yùn)營者將網(wǎng)絡(luò)定級材料向公安機(jī)關(guān)備案,公安機(jī)關(guān)對定級準(zhǔn)確、符合要求的網(wǎng)絡(luò)發(fā)放備案證明。
三是等級測評。網(wǎng)絡(luò)運(yùn)營者選擇符合國家規(guī)定條件的測評機(jī)構(gòu),對第三級以上網(wǎng)絡(luò)( 含國家關(guān)鍵信息基礎(chǔ)設(shè)施) 每年開展等級測評, 查找發(fā)現(xiàn)問題隱患, 提出整改意見。
四是安全建設(shè)整改。網(wǎng)絡(luò)運(yùn)營者根據(jù)網(wǎng)絡(luò)的安全保護(hù)等級,按照國家標(biāo)準(zhǔn)開展安全建設(shè)整改。
五是監(jiān)督檢查。公安機(jī)關(guān)每年對網(wǎng)絡(luò)運(yùn)營者開展網(wǎng)絡(luò)安全等級保護(hù)工作的情況和網(wǎng)絡(luò)的安全狀況實(shí)施執(zhí)法檢查。
網(wǎng)絡(luò)安全等級保護(hù)測評工作( 下稱“ 等級測評" ) 是指測評機(jī)構(gòu)依據(jù)國家網(wǎng)絡(luò)安全等級保護(hù)制度規(guī)定, 按照有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn), 對非涉及國家秘密的網(wǎng)絡(luò)安全等級保護(hù)狀況進(jìn)行檢測評估的活動。等級測評包括標(biāo)準(zhǔn)符性評判活動和風(fēng)險評估適動, 即依據(jù)網(wǎng)絡(luò)安全等級保護(hù)的國家標(biāo)準(zhǔn)或行業(yè)標(biāo)準(zhǔn), 按照特定方法對網(wǎng)絡(luò)的安全保護(hù)能力進(jìn)行科學(xué)、公正的綜合評判過程。
根據(jù)《網(wǎng)絡(luò)安全法》和《信息安全等級保護(hù)管理辦法》的規(guī)定, 網(wǎng)絡(luò)按照《網(wǎng)絡(luò)安全等級保護(hù)基本要求》等技術(shù)標(biāo)準(zhǔn)安全建設(shè)完成后, 網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)選擇符合規(guī)定條件的測評機(jī)構(gòu), 定期對網(wǎng)絡(luò)的安全保護(hù)狀況開展等級測評。
通過測評, 一是可以發(fā)現(xiàn)網(wǎng)絡(luò)存在的安全問題, 掌握網(wǎng)絡(luò)的安全狀況、排查網(wǎng)絡(luò)的安全隱患和薄弱環(huán)節(jié)、明確網(wǎng)絡(luò)安全建設(shè)整改需求, 二是衡量網(wǎng)絡(luò)的安全保護(hù)管理措施和技術(shù)措施是否符合等級保護(hù)的基本要求、是否具備了相應(yīng)的安全保護(hù)能力。等級測評結(jié)果也是公安機(jī)關(guān)等安全監(jiān)管部門進(jìn)行監(jiān)督、檢查、指導(dǎo)的參照。
1.安全建設(shè)整改前
在開展網(wǎng)絡(luò)安全建設(shè)整改之前,網(wǎng)絡(luò)運(yùn)營者可以通過等級測評,分析判斷目前網(wǎng)絡(luò)所采取的安全措施與等級保護(hù)標(biāo)準(zhǔn)要求之間的差距,分析安全方面存在的問題,查找網(wǎng)絡(luò)安全保護(hù)建設(shè)整改需要解決的問題,形成安全建設(shè)整改的安全需求。
2.安全建設(shè)整改后
網(wǎng)絡(luò)安全建設(shè)整改完成后,網(wǎng)絡(luò)運(yùn)營者應(yīng)通過等級測評對網(wǎng)絡(luò)的等級保護(hù)措施落實(shí)清況與《基本要求》的要求之間的符合程度進(jìn)行評測,形成網(wǎng)絡(luò)安全等級測評報告,如果發(fā)現(xiàn)問題將繼續(xù)整改。
網(wǎng)絡(luò)運(yùn)行維護(hù)期間,應(yīng)定期進(jìn)行安全等級測評,及時發(fā)現(xiàn)和分析網(wǎng)絡(luò)存在的安全問題?!豆芾磙k法》要求網(wǎng)絡(luò)建設(shè)完成后,網(wǎng)絡(luò)運(yùn)營者當(dāng)選擇符合規(guī)定條件的測評機(jī)構(gòu),依據(jù)《測評要求》等技術(shù)標(biāo)準(zhǔn),定期對網(wǎng)絡(luò)的安全保護(hù)狀況開展等級測評。第二級(含)以上網(wǎng)絡(luò)應(yīng)當(dāng)每年至少進(jìn)行一次等級測評,重要部門的第二級網(wǎng)絡(luò)可以參上述要求開展等級測評工作。
等級保護(hù)測評過程包括四個階段。
●測評準(zhǔn)備階段
被測單位向測評機(jī)構(gòu)提出測評申請,測評機(jī)構(gòu)對被測單位的申請材料進(jìn)行審查,在雙方達(dá)成共識的情況下,雙方簽訂保密協(xié)議、委托書、合同。
●方案編制階段
測評機(jī)構(gòu)成立項目組后,工作人員到被測單位了解被測評系統(tǒng)的信息,編寫信息系統(tǒng)業(yè)務(wù)調(diào)查報告,信息系統(tǒng)規(guī)劃設(shè)計分析報告,與被測單位共同討論評測方案,評測工作計劃,達(dá)成共同認(rèn)可的評測方案和評測工作計劃。
●現(xiàn)場測評階段
在進(jìn)入現(xiàn)場檢測測試階段時,測評機(jī)構(gòu)項目組成員在參照系統(tǒng)體系建設(shè)相關(guān)資料(系統(tǒng)建設(shè)方案、技術(shù)資料、管理資料、日常維護(hù)資料)后,對測評單位進(jìn)行安全管理機(jī)構(gòu)檢查、安全管理制度檢查、系統(tǒng)備案依據(jù)檢查、技術(shù)要求落實(shí)情況測評、定期評估執(zhí)行情況檢查、等級響應(yīng)、處理檢查、教育和培訓(xùn)檢查,生成管理檢查記錄、技術(shù)檢查記錄和核查報告。
●分析與報告編制階段
測評機(jī)構(gòu)最后進(jìn)行核查結(jié)果分析,等級符合性分析、專家評審,生成等級測評報告和安全建議報告
2019年5月13日下午,《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》(以下簡稱:等保2.0)正式發(fā)布,并于2019年12月1日起正式實(shí)施,標(biāo)志著等級保護(hù)標(biāo)準(zhǔn)正式進(jìn)入2.0時代。等保2.0在1.0的基礎(chǔ)上更加注重全方位主動防御、動態(tài)防御、整體防控和精準(zhǔn)防護(hù),實(shí)現(xiàn)了對云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動互聯(lián)和工業(yè)控制信息系統(tǒng)等保護(hù)對象全覆蓋,以及除個人及家庭自建網(wǎng)絡(luò)之外的領(lǐng)域全覆蓋。
等級保護(hù)2.0的測評內(nèi)容分為安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心、安全管理制度、安全管理機(jī)構(gòu)、安全人員管理、安全建設(shè)管理、安全運(yùn)維管理十個層面。
依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn)對信息系統(tǒng)及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進(jìn)行評價的過程。它要評估資產(chǎn)面臨的威脅以及威脅利用跪 弱性導(dǎo)致安全事件的可能性,并結(jié)合安全時間所涉及的資產(chǎn)價值來判斷安全事件一旦發(fā)生對組織造成的影響。