2017年6月1日正式实施的《网络安全法》,使得中国网络安全建设进入新的台阶。同时也让“没有网络安全就没有国家安全”这句话正在一步一步的被实施。随着《网络安全法》的颁布和实施,信息安全等级保护的工作也显得尤为重要,很多公司,特别是一些基础设施行业,如金融,P2P行业的,必须获得申请等级保护资质,才能正常运营。
很多客户合作伙伴在咨询悬镜安全关于等级保护相关的问题时,都有很多的疑问,特别是对于首次申请等级保护的客户来说,更是一头雾水。今天悬镜小编给大家分享下目前关于等级保护的那些事。
等级测评是指,测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密的信息系统的安全等级保护状况进行检测评估的活动。
1月19日,全国信息安全标准化技术委员会秘书对外发布《信息安全技术 网络安全等级保护定级指南》征求意见稿,面向社会广泛征求意见。
针对此次的定级指南,我们整理了5点定级指南内容的重大变化。
1.等级保护对象增加
网络安全等级保护工作的作用对象,主要包括基础信息网络、工业控制系统、云计算平台、物联网、使用移动互联技术的网络、其他网络以及大数据等。新增了等保2.0覆盖的新技术新应用形态。
2.明确了国家安全、社会秩序和公共利益的具体表现形式 侵害国家安全的事项包括以下方面:
——影响国家政权稳固和主权完整;
——影响国家统一、民族团结和社会稳定;
——影响国家经济秩序和文化实力;
——影响宗教活动秩序和反恐能力建设;
——其他影响国家安全的事项。
侵害社会秩序的事项包括以下方面:
——影响国家机关社会管理和公共服务的工作秩序;
——影响各种类型的经济活动秩序;
——影响各行业的科研、生产秩序;
——影响公众在法律约束和道德规范下的正常生活秩序等;
——其他影响社会秩序的事项。
侵害公共利益的事项包括以下方面:
——影响社会成员使用公共设施;
——影响社会成员获取公开信息资源;
——影响社会成员接受公共服务等方面;
——其他影响公共利益的事项。
侵害公民、法人和其他组织的合法权益是指由法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益等受到损害。
此次意见稿对侵害国家安全、社会秩序、公共利益及公民、法人和其他组织的合法权益的具体内容进行了一定明确和认定。方便大家更准确合理地进行系统定级。
3.对不同损害程度做了一定的定性 等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种:
a) 造成一般损害;
b) 造成严重损害;
c) 造成特别严重损害。
三种侵害程度的描述如下:
——一般损害:工作职能受到局部影响,业务能力有所降低但不影响主要功能的执行,出现较轻的法律问题,较低的财产损失,有限的社会不良影响,对其他组织和个人造成较低损害;
——严重损害:工作职能受到严重影响,业务能力显著下降且严重影响主要功能执行,出现较严重的法律问题,较高的财产损失,较大范围的社会不良影响,对其他组织和个人造成较严重损害;
——特别严重损害:工作职能受到特别严重影响或丧失行使能力,业务能力严重下降且或功能无法执行,出现极其严重的法律问题,极高的财产损失,大范围的社会不良影响,对其他组织和个人造成非常严重损害。
什么是一般损害、严重损害和特别严重损害,意见稿中给出了更明确的说明。
4.对公民、法人和其他组织的合法权益造成特别严重损害定为三级 定级要素与安全保护等级的关系如表1所示。
熟悉原来定级标准的同仁们应该知道,以前公民、法人和其他组织的合法权益造成特别严重损害,系统定级为二级,此次意见稿改为三级,表明了对公民、法人和其他组织的合法权益的重视。
5.定级流程更加规范 等级保护对象定级工作的一般流程如下:
确定定级对象–>初步确定等级–>专家评审–>主管部门审核–>公安机关备案审查
其中“专家评审”:定级对象的运营、使用单位应组织信息安全专家和业务专家等,对初步定级结果的合理性进行评审,出具专家评审意见。
“主管部门审核”:定级对象的运营、使用单位应将初步定级结果上报行业主管部门或上级主管部门进行审核。
此次意见稿中将定级流程新增“专家评审”和“主管部门审核”两个环节,这样定级过程将会变得更加规范,定级也会更加准确,有意将系统等级定低的情况将会越来越少,专家们和主管部门都要签字的,专家们在签字的时候一定要慎重,当然针对不合理定级也会提出修改意见。
所以将来的定级过程将变得更加复杂。以前定级叫“自主定级”,将来的定级可能会被称为“规范定级”。规范定级带来的最大变化就是定级更加合理,更加准确。 合理定级是开展等级保护工作最重要的一步。
悬镜安全等级保护整体解决方案
信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。
定级备案
悬镜安全通过对《信息系统安全等级保护定级指南》的全方面解读,对国家等级保护政策有着充分的理解,熟知定级的工作流程及备案流程,能够有效的解决客户在定级备案过程中遇到的问题。
说到定级备案,在这里悬镜小编提醒大家注意两点:
第一:如果是金融行业想申请等级保护资质的话,需要先获得由当地金融办颁发的相关的公告。当地金融办认为公司是合法合理正常运营的话,相关的测评单位才可以给进行等级保护的测评。比如在我国需要审批的金融牌照主要包括银行、保险、信托、券商、金融租赁、期货、基金、基金子公司、基金销售、第三方支付牌照、小额贷款等相关资质。金融行业涉及人民的钱财,在审核时比其他的行业更为严苛,只有获得了相关的牌照,才有资格进入第一步:定级备案。
第二:异地备案。有些公司运维团队在上海,但想在新疆备案,测评中心在进行测评定级备案时,需要去当地所在的公安部以及省厅去进行盖章,导致了时间周期可能会延长。所以悬镜小编建议:如果您想在短时间内获得登保的资质,建议您以运维团队所在地进行备案,可以节省很多时间。
实施
悬镜安全将从安全技术和管理两个方面分析当前系统的安全技术措施与等级保护标准要求之前的差距,为客户量体定制自查表,依据《信息系统安全保护等级定级指南》(GB/T 22240-2008)、《信息系统安全等级保护基本要求》(GB/T 22239-2008)、《信息系统安全等级保护实施指南》(GB/T 22258-2010)等进行实施。
测评
等级测评是测评机构依据《信息系统安全等级保护测评要求》等管理规范和技术标准,检测评估信息系统安全等级保护状态是否达到相应等级基本要求的过程。测评流程又分以下几个步骤:
关于每一个步骤的所涉及的文档内容,如有感兴趣,可以联系悬镜小编。
整改
测评机构测评完后,会出现不符合的选项,悬镜安全会根据第三方测评出具的整改建议方案,结合客户的实际需求,制定整改方案,补充目前缺少的安全管理制度,同时协助客户完成安全产品的选型、采购和部署,制定符合客户设备的安全策略,并进行合理配置,协助客户搭建完善的技术防护系统和安全管理系统,顺利通过测评机构的审核,确保客户信息系统的安全稳定运行。
监督与检查
测评通过后,根据《信息安全等级保护管理办法(公通字[2007]43号)》要求,第三级信息系统每年至少进行一次评估,第四级信息系统每半年至少进行一次评估。悬镜安全将定期为客户提供评估服务,并协助完成自查整改和系统测评工作,为客户信息系统安全提供长期保障。
悬镜安全资质
悬镜安全在行业内有诸多技术实力和项目经验,目前已经获了多项资质认证。
悬镜安全荣誉展示:
如有关于等级保护相关的问题,可以随时联系悬镜。
来源:freebuf.com 2018-03-14 15:08:25 by: 悬镜安全实验室
请登录后发表评论
注册