12月1日,網絡安全等級保護制度2.0標準(以下簡稱“等保2.0”)正式施行,依據《網絡安全法》第二十一條:網絡運營者應當按照網絡安全等級保護制度的要求,履行安全保護義務,保障網絡免受干擾、破壞或者未經*的訪問,防止網絡數據泄露或者被竊取、篡改。
因此,網絡運營者需按照等保2.0要求實施網絡安全等級保護,并進行與之相關的全流程工作,分別是:定級、備案、總體規劃、設計與實施、運行與維護以及終止。其中定級和備案是等保實施的開始也是基礎。
定級與備案過程
等級保護制度當中等級是非常重要的,等保2.0與等保1.0類似,按照重要程度由低到高將信息系統分為5個等級,等級不同施行不同標準的保護標準并進行備案。對于企業來說定級與備案是十分重要的步驟,便于企業明確自己應當施行的保護標準,假如不明確等級,施行保護標準低于定級會陷入違法的境地,實行保護標準高于定級則會浪費成本。
定級與備案流程分為定級、對象分析、等級確定以及備案四個步驟,涉及到等保實施中所有角色,包括運營單位、網絡安全企業、主管部門、網信辦、網絡安全測評機構、網絡安全服務機構以及公安機關。
首先,行業主管部門和網絡安全服務機構確定本行業等保等級,完成行業/領域定級工作;第二步,運營單位和網絡安全服務機構根據所在行業、業務范圍、產品作用等情況完成等保對象重要性分析,并經過專家評審;第三步,主管部門對等保對象、定級進行審核、批準,以確定等保對象數量、等級;后,根據等保管理部門要求辦理備案手續,報公安機關進行備案審查,完成全部定級、備案工作。
在這里需要注意的是,除了一級等保不需要定級、備案其余等級都需要申報定級、進行備案,其中第三級等保是國家對非銀行機構的高級認證,屬于“監管級別”,由國家信息安全監管部門進行監督、檢查,是目前金融支付機構、企業需要達到的等級。
測評存在于等保實施所有環節中
在等保實施過程中測評是很重要環節,其主要作用是檢測評估定級對象安全等級是否符合相應等級基本要求,是落實等保的重要手段。單位需要樹立一個觀念:測評不是一個單獨存在的環節,不是通過一次就可以,只要施行等保,測評就會一直存在。
能夠進行測評的機構須具有相應的資質,在測評時要取得運營、使用單位的委托或者等保管理部門的*。運營、使用單位通過登記測評進行現狀分析,確定系統安全保護現狀和存在問題,并以此確定系統的整改需求。
在等保的定級、建設和運維過程中都需要進行測評工作、獲得測評報告。根據規定實施第三級等保的等保對象需要每年進行一次測評,測評報告是開展整改加固的重要依據,也是第三級以上定級對象備案的重要附件材料,由此可見,測評在等保過程中的重要性。
有人將等保實施過程稱為測評整改再測評再整改直至通過測評的過程。第三級等保認證需要測評內容涵蓋等級保護安全技術要求5個層面和安全管理要求的5個層面,主要包含信息保護、安全審計、通信保密等在內的近300項要求,共涉及測評分類73類,具體要求可以參照《信息安全技術 網絡安全等級保護測評要求》,而測評過程可以參照《信息安全技術 網絡安全等級保護測評過程指南》。
等級測評過程
需要注意的是,企業內網信息系統、上云或者托管在其他地方的系統也需要進行測評,根據“誰運營誰負責,誰使用誰負責,誰主管誰負責”的原則,系統責任主體仍然還是屬于網絡運營者,因此不可大意。
等保只是開始
目前全國網絡安全等級保護測評機構推薦目錄共包含189家機構,需要注意的是,等保測評不是安全認證,沒有認證證書,測評報告和備案證明只能證明該信息系統符合等級保護的安全要求,滿足國家法律法規的合規需求。
做到了等保只是保證網絡安全、信息安全的基本要求,基本保證系統可以平穩運行,也就是“底線”,并不是說做到了等保在安全上就可以,也不是說做到了等保在發生風險事故時就可以規避法律制裁。
滿足等保需求只是做到了網絡安全、數據安全的第一步,也僅僅是合規的開始,隨著其他法規辦法的出臺,合規要求必然會越來越嚴格。
