你真的了解網(wǎng)絡(luò)安全等級保護(hù)嗎?

責(zé)任編輯:zsheng

2018-10-24 09:30:32

摘自:西部數(shù)碼

《網(wǎng)絡(luò)安全法》第二十一條規(guī)定“國家實(shí)行網(wǎng)絡(luò)安全等級保護(hù)制度?!睂⒕W(wǎng)絡(luò)安全等級保護(hù)制度上升為網(wǎng)絡(luò)安全的一項(xiàng)基本國策,但是很多人對網(wǎng)絡(luò)安全等級保護(hù)(以下簡稱“等保”)制度還是比較陌生,所以來談?wù)剮讉€(gè)網(wǎng)絡(luò)安全等級保護(hù)工作的情況。

《網(wǎng)絡(luò)安全法》第二十一條規(guī)定“國家實(shí)行網(wǎng)絡(luò)安全等級保護(hù)制度。”將網(wǎng)絡(luò)安全等級保護(hù)制度上升為網(wǎng)絡(luò)安全的一項(xiàng)基本國策,但是很多人對網(wǎng)絡(luò)安全等級保護(hù)(以下簡稱“等保”)制度還是比較陌生,所以來談?wù)剮讉€(gè)網(wǎng)絡(luò)安全等級保護(hù)工作的情況。

網(wǎng)絡(luò)安全等級保護(hù)制度的發(fā)展歷程

網(wǎng)絡(luò)安全等級保護(hù)制度是2003年公安部開始探索和實(shí)踐計(jì)算機(jī)保護(hù)的一項(xiàng)工作,叫信息安全等級保護(hù)工作。2007年,在實(shí)踐基礎(chǔ)上公安部會(huì)同國家保密局、國家密碼管理局、國務(wù)院信息化工作辦公室等四部委發(fā)布了《信息安全等級保護(hù)管理辦法》,將信息安全等級保護(hù)工作寫入法規(guī)中。同年,浙江省發(fā)布了《浙江省信息安全等級保護(hù)管理辦法》,細(xì)化信息安全等級保護(hù)工作要求。2017年隨著《網(wǎng)絡(luò)安全法》的實(shí)施,信息安全等級保護(hù)制度改為網(wǎng)絡(luò)安全等級保護(hù)制度。2018年6月,公安部向社會(huì)發(fā)布了《網(wǎng)絡(luò)安全等級保護(hù)條例(征求意見稿)》公開征求意見。網(wǎng)絡(luò)安全等級保護(hù)的法律法規(guī)體系正在逐步完善。

網(wǎng)絡(luò)安全等級保護(hù)的工作內(nèi)容

很多人對網(wǎng)絡(luò)安全等級保護(hù)的工作存在誤解,以為網(wǎng)絡(luò)安全等級保護(hù)的工作就是等保備案和等保測評。這種認(rèn)識完全本末倒置,網(wǎng)絡(luò)安全等級保護(hù)的工作是根據(jù)信息系統(tǒng)遭到破壞后帶來對客體的侵害程度分成五個(gè)保護(hù)等級,每個(gè)保護(hù)等級落實(shí)相應(yīng)的安全工作要求,等保備案和等保測評僅僅是監(jiān)督這項(xiàng)工作的落實(shí)的法定程序。網(wǎng)絡(luò)安全等級保護(hù)制度要求信息系統(tǒng)責(zé)任主體落實(shí)信息系統(tǒng)的安全策略和管理制度、安全管理機(jī)構(gòu)和人員、物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計(jì)算安全、應(yīng)用和數(shù)據(jù)安全、安全建設(shè)管理、安全運(yùn)維管理等系統(tǒng)安全各個(gè)維度的工作要求。等保測評并不是落實(shí)這些維度的安全措施,而是一個(gè)醫(yī)生給病人把脈診斷的過程,同時(shí)給出治療建議。至于病人吃什么藥,做什么改進(jìn),是信息系統(tǒng)責(zé)任主體權(quán)衡多方因素后進(jìn)行整改和安全加固。

網(wǎng)絡(luò)安全等級保護(hù)制度的適應(yīng)性

網(wǎng)絡(luò)安全等級保護(hù)制度從2007年實(shí)施到現(xiàn)在,已經(jīng)走過十一年,它具有強(qiáng)大的適應(yīng)性,依然能夠跟上日新月異的技術(shù)發(fā)展。首先,它的等保定級是以被破壞后對國家安全、社會(huì)穩(wěn)定和公共利益侵害程度為導(dǎo)向,無論以后出現(xiàn)多少新技術(shù)、新應(yīng)用都不影響等保定級工作。其次,是等保測評的評分機(jī)制,達(dá)到60分就能基本符合,并不要求信息系統(tǒng)所有子項(xiàng)目都達(dá)標(biāo),畢竟信息系統(tǒng)在現(xiàn)實(shí)應(yīng)用中各種環(huán)境和需求各不相同,受各種因素干擾,避免不計(jì)成本的安全投入。再次,測評的技術(shù)標(biāo)準(zhǔn)可以根據(jù)時(shí)代發(fā)展和需求進(jìn)行修改,等保2.0的測評體系在擴(kuò)展要求部分增加云機(jī)關(guān)安全、移動(dòng)互聯(lián)安全、物聯(lián)網(wǎng)安全、工業(yè)控制系統(tǒng)安全等新技術(shù)新應(yīng)用的需求。

網(wǎng)絡(luò)安全等級保護(hù)制度的現(xiàn)實(shí)意義

網(wǎng)絡(luò)安全等級保護(hù)制度的實(shí)施為信息系統(tǒng)安全工作開辟了一條可落地可操作的道路。從國家層面看,對所有信息系統(tǒng)都要落實(shí)安全措施,但沒有絕對安全,不計(jì)成本的投入,追求絕對安全是錯(cuò)誤的。網(wǎng)絡(luò)安全等級保護(hù)制度恰恰體系化的指導(dǎo)各信息系統(tǒng)根據(jù)各自責(zé)任落實(shí)相應(yīng)技術(shù)措施,避免安全工作的不作為、或亂作為。從信息系統(tǒng)責(zé)任主體單位看,為落實(shí)信息系統(tǒng)安全工作提供方向和依據(jù),一般單位的信息系統(tǒng)安全工作分兩步,先是落實(shí)合法合規(guī)的安全工作要求,再落實(shí)業(yè)務(wù)特殊的安全需求。網(wǎng)絡(luò)安全等級保護(hù)制度就是明確法律法規(guī)要求,讓安全工作有法可依。從公民個(gè)人層面來看,網(wǎng)絡(luò)安全等級保護(hù)制度落實(shí)是個(gè)人安居樂業(yè)的必要保障,保障那些生活深度依賴的信息系統(tǒng)服務(wù)不斷,保障水電交通等基礎(chǔ)設(shè)施平穩(wěn)運(yùn)行,保障個(gè)人信息、資金等安全保管。

網(wǎng)絡(luò)安全等級保護(hù)制度的幾個(gè)認(rèn)識誤區(qū)

最后來談?wù)剬W(wǎng)絡(luò)安全等級保護(hù)制度的幾個(gè)認(rèn)識誤區(qū)。一是信息系統(tǒng)物理隔離就不用落實(shí)等保工作。這是最常見的誤區(qū),所有信息系統(tǒng)都要落實(shí),即使物理隔離的信息系統(tǒng)也要落實(shí)等保工作。一般物理隔離的信息系統(tǒng),都是因?yàn)橹匾鸥綦x,定級會(huì)比較高,反而是等保工作的重點(diǎn)。二是企業(yè)信息系統(tǒng)癱瘓只影響企業(yè)利益,等保定級可以比較低。等保定級一般分系統(tǒng)服務(wù)安全和業(yè)務(wù)信息安全兩個(gè)維度,企業(yè)大多數(shù)系統(tǒng)服務(wù)受破壞只影響企業(yè)業(yè)務(wù),定級要求不高。但是涉及公民個(gè)人信息的企業(yè),業(yè)務(wù)信息安全就相對較高,特別是近幾年來數(shù)據(jù)價(jià)值被越來越重視,各企業(yè)收集數(shù)據(jù)的行為越來越多,意味著企業(yè)手中數(shù)據(jù)價(jià)值越來越大,帶來的安全責(zé)任當(dāng)然也是越來越大,一些企業(yè)等保定級甚至可以達(dá)到4級。三是信息系統(tǒng)上云就安全了。很多單位認(rèn)為網(wǎng)站和信息系統(tǒng)上云后就安全了,等保不用做了。信息系統(tǒng)是否上云,安全責(zé)任主體都不會(huì)變。各類云平臺只提供平臺和簡單的安全措施,安全責(zé)任主體單位還是要按等保要求落實(shí)相應(yīng)的安全工作,只是物理和環(huán)境安全等部分安全工作由云平臺承擔(dān)。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號