2019年5月13日,网络安全等级保护制度2.0标准和规范发布,并于同年12月1日开始实施。这是对我国政企的要求,也明确了国家网络安全的基本治理方法路线。因此,全国各政企等保合规建设迫在眉睫。
相对于大型企业的充足技术力量和物质基础的支撑,中小机构在进行等保合规建设当中存在一些掣肘难行之处。中小机构的等保建设有自身的特点,普适性的等保合规方案对其并不适用。在预算不多的情况下,部署安全设备免不了存在顾此失彼的现象;在人员能力有限的情况下,多元安全设备的使用也会成为信息化的负担。对于中小机构,因为自身能力的局限性,等保合规建设存在无从下手的情况,等保测评俨然成为了机构办公的负担。
等保2.0虽然对等保各级机构提出了要求,但这种要求还不具备成为等保合规系统建设的直接导引。为了在中小企业等保合规建设方面提供解决思路,我们推出《中小机构等保建设白皮书》,旨在指导中小企业选择合适的等保合规建设方案。
为深入了解中小机构在进行等保合规建设的现状,安全牛通过实际访谈政府机构、金融机构、交通、制造等多个行业的中小机构用户,调研了解他们在等保合规建设的问题与挑战,具体发现如下:
信息安全投入资金不足:大部分机构一年信息安全投入不超过30万元;
信息安全人才储备不足:信息化部门兼任了信息安全防护的工作,没有聘请专业的信息安全人才;
领导重视程度不足:领导希望以最小的投入满足等保合规要求;
抗压力量差:在面对疫情这样不可控的风险时,信息安全预算成为了可削减的部分;
将等保工作理解为一种工作负担:宁愿舍弃部分业务功能,也不希望自己提高等保定级。
根据调研,我们提出了如下解决思路:
按点产品部署的体系化建设;
以“一体机”的方式进行等保合规建设。
本次报告聚焦于体量中小,信息安全预算较低的中小型机构,这些机构多为等保二级或三级的机构,这些机构多不具备专业的信息安全部门,基础能力较弱,基础部署信息安全产品老旧,在等保2.0落地的时刻,均需要对自身的网络安全体系升级。本报告详细调研了这些机构的等保合规需求、等保建设路线、建设遇到的困难及解决方法等问题,形成具备落地参考意义的实践案例。
01
报告核心观点
实施网络安全等级保护制度,能够有效的提升我国信息和信息系统安全建设的整体水平,有效解决信息安全“最短一块木板”问题。
中小机构的甲方用户等保合规需求分为两类,一类甲方用户安全建设的诉求以等保合规为主,这类甲方用户在建设上基本依照等保控制点进行,踩点合规即可。另一类甲方用户本身就建有信息安全体系,会依照等保2.0标准对未满足的控制点进行有针对性的建设。
中小机构的安全管理建设包括三个特点:第一信息化资金和网络安全所占比例均不高;第二,没有为专业的网络安全人才留有岗位,信息化人员兼任网络安全防护人员;第三,大多中小机构均有简单基础,不足以支撑等保合规检查。
我们建议:以合规为导向的中小机构,使用“一体机”这样的安全防护设备实现快速合格。以能力为导向的中小机构,按点部署产品,建立体系化防御。对于大多数中小机构,建议采用“两步走”战略,即快速合规后持续进行能力提升。
02
报告提纲
■第一章 等保介绍及发展概述
1.1 等保简介
1.2 等保的发展历程
1.3 等保实施
■第二章 等保合规要求下的网络安全能力建设
2.1 安全通信网络
2.2 安全区域边界
2.3 安全计算环境
2.4 安全管理中心
2.5 一个中心三重防护的意义
■第三章 中小企业合规与能力建设思路
3.1 中小机构对等保合规的诉求
3.2 中小机构等保合规体系建设中遇到的问题
■第四章【用户调查】等保建设经验分享
4.1 某合资银行金融科技公司案例
4.2 某医疗科技股份有限公司
4.3 某交通建设投资公司
4.4 某地方房管局
■第五章 助力等保合规建设
5.1 等级保护建设解决方案
5.2 等级保护建设解决方案机应用价值
