2020 年 7 月,公安部研究制定《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度指导意见》【(公网安【2020】1960 号文)(下称 “指导意见”)】,要求各行业、各部门结合工作实际,认真参照执行指导意见相关要求,深入贯彻实施网络安全等级保护制度,深入推进网络安全等级保护定级备案、等级测评、安全建设和检查等基础工作。网络安全等级保护 2.0 工作实施一年以来,尽管各行业积极推动等级保护工作开展,但仍存在一些问题,如:
业务系统迁移上云如何定级,去哪里定级备案?
系统迁移上云或进行托管,无需开展等级保护工作?
系统定级流程不规范,如内网系统不定级、为规避监管三级系统定二级;
单位多个系统打包成一个系统进行定级;
将等级保护定级备案与 “通过” 等级测评混淆;
等级测评就是等级保护工作的全部;
等级测评结论具有永久性;
保证等级测评得分够 70 分即可,忽略高风险存在;
等级测评发现问题整改费用高,投资回报率底;
标准理解不到位,将 “等保 2.0” 与 “等保三级” 混淆;
针对当前存在的问题,本文将通过明确工作目标、了解工作方向、细化工作内容三部分内容,详细介绍企事业单位究竟该如何深入贯彻落实网络安全等级保护制度,提升网络和信息系统安全防护力。
网络安全等级保护工作有哪些目标?
指导意见针对深入贯彻落实网络安全等级保护制度提出下列工作目标:
1、深化网络定级备案工作
全面梳理包括云计算、物联网、新型互联网、大数据、智能制造等新技术应用在内的运营者全部网络情况,科学确定保护等级,依法向公安机关备案。行业主管部门依据《网络安全等级保护定级指南》国家标准,结合行业特点制定行业网络安全等级保护定级指导意见。
2、定期开展网络安全等级测评
对已定级备案网络的安全性进行检测评估,第三级以上网络运营者委托符合国家有关规定的等级测评机构每年开展网络安全等级测评。公安机关加强对本地等级测评机构的监督管理,确保等级测评过程客观、公正、安全。
3、科学开展安全建设整改
运营者在网络建设和运营过程中应同步规划、同步建设、同步使用网络安全保护措施,可通过网络迁移上云或网络安全服务外包方式充分利用网络安全服务商提升网络安全保护能力。
4、强化安全责任落实
按照 “谁主管谁负责、谁运营谁负责” 的原则,厘清网络安全保护边界,建立网络安全等级保护工作责任制。
5、科学开展安全建设整改
加强网络关键人员的安全管理,采购、使用符合国家法律法规和有关标准规范要求的网络产品及服务。
6、强化安全责任落实
第三级以上网络运营者在网络规划、建设和运行阶段,按照密码应用安全性评估管理办法和相关标准,在网络安全等级测评中同步开展密码应用安全性评估。
网络安全等级保护工作方向指南
1、定级备案
2020 年 11 月 1 日起,网络安全等级保护定级指南(下称 “定级指南”)正式实施,网络运营者应根据定级指南将保护对象梳理清楚,科学确定等级,未定级的系统开展定级备案工作,定级不准系统根据定级指南要求及时调整安全等级。第二级及以上的网络和信息系统应到公安机关备案(县级公安机关)、审核。特别是针对采用下列新技术、新应用的网络和信息系统应合理进行定级
2、建设整改
随着 “关口前移”、“安全左移” 等安全建设理念的提出,对于新建网络和信息系统在开展安全建设时要依据基本要求、设计技术要求和测评要求等国家标准落实 “三同步” 要求,根据等级保护 “一个中心、三重防护” 的安全防护理念构建安全防护体系。针对新建网络和信息系统,在落实安全防护措施时应考虑以下安全技术:
应用可信计算、商用密码等新技术,开展安全建设和整改加固;
网络和信息系统迁移上云获取专业化、集约化安全防护措施及能力;
网络安全服务外包,由网络安全服务商提供专业安全服务提升系统安全防护能力;
“零信任”、“主动免疫” 等技术,提升网络和信息系统主动防御能力;
保障供应链安全,采取严格有效措施对网络系统的建设、设计、运维、服务等方面进行管控,加强人员的管理,评估风险;
采购产品和服务一定要符合要求,符合国家要求;
参照行业内优秀安全解决方案积极推动等保 2.0 建设;
此外,《中华人民共和国密码法》自 2020 年 1 月 1 日起施行,网络运营者应按照《密码法》要求,正确、有效采用密码技术对网络和信息系统进行安全保护;针对第三级以上的网络和信息系统应将等级保护工作和商用密码应用安全性评估工作进行衔接,保证网络和信息系统的安全性、合规性以及商用密码应用的有效性。
3、等级测评
网络运营者应依据网络安全等级保护测评要求等有关标准开展等级测评、风险评估,第三级及以上的网络和信息系统每年开展一次等级测评工作,并对测评中发现的安全问题进行及时整改。此外,应注意下列三点:
第三级及以上新建网络和信息系统应通过等级测评后再投入使用;
对于已运行的网络和信息系统应定期开展测评,及时发现安全问题并进行建设整改;
网络和系统发生安全事件或日常巡检发现高风险问题时应及时进行安全评估,避免发生安全事件。
4、监督检查
监督检查主要核实网络和信息系统运营使用、建设单位的等级保护工作开展和落实情况,重点督促、检查安全设施、安全措施、安全管理制度、安全责任、责任部门和人员。检查的核心内容有:
等级保护工作部署和组织实施情况;
信息系统安全等级保护定级备案情况;
网络安全设施建设情况和网络安全整改情况;
网络安全管理制度建立和落实情况;
网络安全产品选择和使用情况;
聘请测评机构开展技术测评及定期自查工作情况。