贯彻落实等级保护2.0是关键基础设施运营单位义不容辞的义务,未落实等保的单位将面临被有关部门责令整改、行政处罚、暂停注册、暂停运营等处罚。这就需要关键信息基础设施运营单位对自身信息系统进行等级保护全流程化管理,建立等级保护常态化检查和自查的业务闭环,配合监管部门共同构建标准化、便捷化、智能化、可视化的关键信息基础设施安全监管体系。
一、等保的过检流程是什么?
等保2.0将落实到系统建设全生命周期的每个环节,从系统定级、系统备案、建设/整改、等级测评、再到监督与检查,每一环节都需要系统运营、使用单位重点留意。
1系统定级:使用单位依照《信息系统安全等级保护定级指南》确定信息系统安全等级,申报系统在新建、改建、扩展立项时需同时向立项审批部门提交定级报告;
2系统备案:已运行的信息系统在安全保护等级确定后30日内,由其运营/使用单位到所在地市级以上公安机关办理备案手续。新建系统,在通过立项申请后30日内办理备案手续;3建设/整改:可委托第三方服务机构、测评机构分析整改需求。信息系统运营、使用单位可依据整改方案开展信息系统安全建设及整改;4等级测评:选择第三方测评机构进行测评。对于新建系统可以在试运行阶段进行评测。信息系统运营、使用单位通过测评后,向市级以上公安机关提交测评报告;5监督检查:定期选择第三方测评机构开展测评工作。三级每年至少一次,四级至少每半年一次;
值得注意的一点:曾经的等保1.0测评分数60分为达标,如今等保2.0 测评分数为75分为达标!
二、等保的涉及行业范围是哪些?
等保2.0突出全覆盖,不仅覆盖各地区、各单位、各企业、各部门和各机构,而且通过“通用要求+扩展要求”,覆盖网络、信息系统、信息,以及云平台、物联网、工控系统、大数据、移动互联网等各种新技术和应用,可以理解为所有涉及到网络安全的行业都需要等保。
(1) 省辖市以上党政机关的重要网站和办公信息系统;
(2) 电信、广电行业的公用通信网、广播电规传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统;
(3) 铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。
三、企业应该定什么等级?
运营使用单位或者主管部门觉得定级定高了,成本相应的也会高很多,企业的负担会加重许多,那么企业应该如何正确定级?Tiger为您总结了一下《定级指南》中的描述:
第一级:应能够防护免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的关键资源损害,在自身遭到损害后,能够恢复部分功能。
第二级:应能够防护免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的重要资源损害,能够发现重要的安全漏洞和处置安全事件,在自身遭到损害后,能够在 一段时间内恢复部分功能。
第三级:应能够在统一安全策略下防护免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害,能够及时发现、监测攻击行为和处置安全事件,在自身遭到损害后,能够较快恢复绝大部分功能。
第四级:应能够在统一安全策略下防护免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难、以及其他相当危害程度的威胁所造成的资源损害,能够及时发现、监测发现攻击行为和安全事件,在自身遭到损害后,能够迅速恢复所有功能。
第五级:由于情况特殊不在等保系列标准中阐述。
定级的原理:
第一级, 信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
根据上述《定级指南》中的描述和定级原理,企业应该根据以下方法进行定级:
(1) 确定定级对象;
(2) 确定业务信息安全受到破坏时所侵害的客体;
(3) 综合评定业务信息安全被破坏对客体的侵害程度;
(4) 得到业务信息安全等级;
(5) 确定系统服务安全受到破坏时所侵害的客体;
(6) 综合评定系统服务安全被破坏对客体的侵害程度;
(7) 得到系统服务安全等级;
(8) 由业务信息安全等级和系统服务安全等级的较高者确定定级对象的安全保护等级;
四、企业要如何应对“安全管理中心”中的“集中管控”新要求?
等保2.0在三级以上安全要求中明确提出了集中管控的要求,包括是否使用了加密的方式进行远程管理,是否部署了综合网管系统、综合审计系统、集中防病毒系统、补丁管理系统,集中的安全事件识别、报警和分析系统等等。
集中管控真有那么重要么?集中管控的作用可以说是等保2.0的核心变化——由被动防御变为主动防御,可以说非常非常重要!
8.1.5.4 集中管控(原文)
a) 应划分出特定的管理区域,对分布在网络中的安全设备或安全组件进行管控;
b) 应能够建立一条安全的信息传输路径,对网络中的安全设备或安全组件进行管理;
c) 应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测;
d) 应对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间符合法律法规要求;
e) 应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理;
f) 应能对网络中发生的各类安全事件进行识别、报警和分析。
“集中”是指通过集合IT资产安全基础信息、系统风险检测等安全信息,进行统一配置,从而达到降低成本、高效管理。
“管”代表“可管”,旨在通过构建集中管控、最小权限管理与三权分立的管理平台,为管理员创建一个工作平台,使其可以进行安全策略管理,从而保证信息系统安全可管。
“控”,即“可控”,是指以访问控制技术为核心,实现主体对客体的受控访问,保证所有的访问行为均在可控范围之内进行,在防范内部攻击的同时有效防止了从外部发起的攻击行为。
五、企业为什么一定要做等保?
《信息安全技术 网络安全等级保护制度》是国家信息安全保障的基本制度、基本策略、基本方法,是对信息和信息载体按照重要性等级分级别进行保护的一种工作。接下来从法律要求、安全要求、行业要求三个层面说明为什么要做等保。
1法律要求层面
等级保护制度可谓历史悠久,早在1994年国务院颁布的《计算机信息系统安全保护条例》中就规定计算机信息系统实行安全等级保护,随后有多部法规、国家标准对信息安全进行了规定。
2017年《网络安全法》生效,生效后等级保护由“信息安全”等级保护转变为“网络安全”等级保护。从“信息”到“网络”的转变,从侧面反映出保护对象从硬件中的信息拓展至信息的载体。
同时,在《网络安全法》生效后,国家大力开展“净网行动”,就有大量因未履行等级保护义务而受到处罚的执法案例。(《网络安全法》的第二十一条、第三十八条、第五十九条,感兴趣的同学可以查一下)
从网上曝出的诸多案例中可以看到,大量执法案例的发生围绕着等级保护制度,并且大多是在网站发生安全事故以后,被公安部门所处罚,而且不乏对企业负责人的处罚。《网络安全法》与等级保护已经不仅是需要IT或者安全部门关注的事项,同样成为企业法务、合规工作中不可回避的问题。
2安全要求层面
等级保护制度可有效保护基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统的安全,维护国家信息安全,有效提高企业信息和信息系统安全建设的整体水平,有效控制企业信息安全建设成本,有利于企业明确国家、法人和其他组织、公民的信息安全责任,加强企业信息安全管理。
3行业要求层面
在上述行业范围中,主管单位明确要求从业机构的信息系统要开展等级保护工作。
例如:
2016年4月的国务院办公厅发布《互联网金融风险专项整治工作实施方案》
2017年6月,中华人民共和国主席令(第五十三号)《中华人民共和国网络安全法》实施
2018年9月,国家卫生健康委员会发布《互联网诊疗管理办法(试行)》、《互联网医院管理办法(试行)》
2019年3月,教育部办公厅关于印发《2019年教育信息化和网络安全工作要点》的通知,提出深入贯彻落实《网络安全法》
2019年7月,十部门联合印发《加强工业互联网安全工作的指导意见的通知》
......
各行业的管理办法&通知无不透露一点:等保已成为众多行业的必需品。
无论企业属于哪种行业,无论企业规模大小,只要使用了有关的网络和信息系统,无一例外都应严格落实等级保护制度。企业必须通过定级、备案、建设整改、等级测评、监督检查五个阶段,满足等保2.0的各项要求。简单而言:不做等保=违法违规。