我們前面通過《網絡安全等級保護制度:國家網絡安全的基本制度�、基本國策》這篇文字�,簡單對比了一下等級保護1.0和2.0有關等級保護制度是國家網絡安全的基本制度�����、基本國策的描述���,讓我們有了一個對比性的了解�����,也對等級保護發展有個時間線的認知�����,而不會感到突兀�。為什么要做這個對比呢�����?原因是前面我們也談到�,等級保護工作在公安部的努力下�����,在我國已經實施了十余年�����,但是在很多網絡安全運營者以及新進網絡安全等級保護從業者���,在此前卻了解甚少�,認為等級保護是近幾年的一個新生事物�����。不能正確了解把握等級保護制度�,不能正確理解看待容易務虛而無法踏實�����。不能理解我國政策的一以貫之的連續性以及我國在等級保護領域所付出的巨大努力���,從而也不能正確對待等級保護工作的開展���,以為是一項一陣風一樣的工作���,做這樣的對比也就是希望通過這個時間線能夠讓朋友們正確的從長遠眼光正視網絡安全的等級保護工作�,將網絡安全工作落到實處�����,務實而非務虛�。
那么���,我們依舊通過對比等級保護1.0和等級保護2.0兩個有關“網絡安全等級保護是國家網絡安全工作的基本方法”的描述�����,讓我們有個歷史時間的認知�����。個別字句�����,有所刪減和調整�����。
信息安全等級保護是信息安全保障工作的基本方法(等級保護1.0)信息安全等級保護是國家信息安全保障工作的基本方法�����。等級保護制度提出了一整套安全要求�,貫穿系統設計�����、開發���、實現�、運維�、廢棄等系統工程的整個生命周期���,引入了測評技術���、風險評估�、災難備份���、應急處置等技術�����。按照等級保護制度中規定的五個動作“定級���、備案�、建設�����、測評�����、檢查”���,各單位各部門開展信息安全工作�����,先對所屬信息系統(包括信息網絡)開展調查摸底�����、梳理信息系統���,再對信息系統定級�,定級后二級以上系統到公安機關備案�����,然后按標準進行安全建設整改�,開展等級測評�。公安機關按照系統級別實施不同強度的監管�,對進入重要信息系統的測評機構以及信息安全產品分等級進行管理���,對信息安全事件分等級響應和處置�����。經過一系列工作的開展���,將信息安全保障工作落到了實處���。
網絡安全等級保護是網絡安全工作的基本方法(等級保護1.0)網絡安全等級保護是國家網絡安全工作的基本方法�����。網絡安全等級保護工作的目標就是維護國家關鍵信息基礎設施安全�����,維護重要網絡設施�����、重要信息系統���、重要數據的安全�����。等級保護制度提出了一整套安全要求�����,貫穿網絡和信息系統的設計�、開發���、實現�、運維�����、廢棄等系統工程的整個生命周期�,引入了測評技術�、風險評估���、災難備份�����、應急處置等技術�。按照等級保護制度中規定的“定級���、備案�、建設���、測評���、檢查”這五個規定動作�,各單位�����、各部門開展網絡安全工作���,先對所屬網絡�、信息系統和數據開展調查摸底�����,再對網絡進行定級�����。定級后�,第二級以上網絡要到公安機關備案���,然后按標準進行安全建設整改�����,開展等級測評���。公安機關對網絡安全工作開展監督管理���,按照不同的網絡級別實施不同強度的監管���,對進入重要信息系統的測評機構及信息安全產品分等級進行管理�,對網絡安全事件分等級響應和處置���。通過開展一系列重點工作���,采取一系列重要的安全管理和技術措施�,將網絡安全工作落到實處�����。
從上面描述我們知道了�����,等級保護制度提出了一整套安全要求�,貫穿網絡和信息系統的設計�����、開發�、實現���、運維�、廢棄等系統工程的整個生命周期�����,引入了測評技術�、風險評估�、災難備份���、應急處置等技術�����。從中我們看到等級保護制度所提出的一整套安全要求是貫穿了一個網絡和信息系統產品整個生命周期每一個階段�。正因為等級保護制度有一整套安全要求���,所以在等級保護工作開展中�����,無論是哪一個環節�����,多要明白“汝果欲學詩���,功夫在詩外”這個道理�,因為各個環節工作在開展中看似孤立�����,其實是彼此相輔相成緊密聯系的���,如設計階段你不考慮等級保護相關標準的要求�,那么在測評階段你就很難滿足等級保護測評國家標準的要求�����,進而影響客戶在等級保護中的結論或結果�,同時為用戶帶來安全合規性和網絡安全雙重風險�����。同樣���,在測評環節不理解設計環節通過何種手段實現相關要求�����,測評的客觀公正性也必然大打折扣���。充分理解五個規定動作力求做到“三同步”���,其中定級�����、備案���、建設是網絡運營者的責任���,在這個三個環節中可以尋求測評機構以及具有提供咨詢服務能力的安全企業的服務�����,以期在定級�、備案�、建設等環節能夠滿足等級保護相關國家標準���。在測評環節�,測評機構參與度加大���,與網絡運營者配合完成等級測評工作�,這里如果前期工作開展較好�����,則等級測評階段工作開展也將較順利���。檢查環節屬于公安機關主導的工作���,全線貫穿整個等級保護工作�,我們看到公安機關檢查就比較全面�,對網絡運營者���、測評機構及信息安全產品等都進行管理���。
等保測評咨詢
