12月1日,網(wǎng)絡(luò)安全等級(jí)保護(hù)制度2.0標(biāo)準(zhǔn)(以下簡(jiǎn)稱“等保2.0”)正式施行,依據(jù)《網(wǎng)絡(luò)安全法》第二十一條:網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求,履行安全保護(hù)義務(wù),保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)*的訪問(wèn),防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。
因此,網(wǎng)絡(luò)運(yùn)營(yíng)者需按照等保2.0要求實(shí)施網(wǎng)絡(luò)安全等級(jí)保護(hù),并進(jìn)行與之相關(guān)的全流程工作,分別是:定級(jí)、備案、總體規(guī)劃、設(shè)計(jì)與實(shí)施、運(yùn)行與維護(hù)以及終止。其中定級(jí)和備案是等保實(shí)施的開(kāi)始也是基礎(chǔ)。
定級(jí)與備案過(guò)程
等級(jí)保護(hù)制度當(dāng)中等級(jí)是非常重要的,等保2.0與等保1.0類似,按照重要程度由低到高將信息系統(tǒng)分為5個(gè)等級(jí),等級(jí)不同施行不同標(biāo)準(zhǔn)的保護(hù)標(biāo)準(zhǔn)并進(jìn)行備案。對(duì)于企業(yè)來(lái)說(shuō)定級(jí)與備案是十分重要的步驟,便于企業(yè)明確自己應(yīng)當(dāng)施行的保護(hù)標(biāo)準(zhǔn),假如不明確等級(jí),施行保護(hù)標(biāo)準(zhǔn)低于定級(jí)會(huì)陷入違法的境地,實(shí)行保護(hù)標(biāo)準(zhǔn)高于定級(jí)則會(huì)浪費(fèi)成本。
定級(jí)與備案流程分為定級(jí)、對(duì)象分析、等級(jí)確定以及備案四個(gè)步驟,涉及到等保實(shí)施中所有角色,包括運(yùn)營(yíng)單位、網(wǎng)絡(luò)安全企業(yè)、主管部門(mén)、網(wǎng)信辦、網(wǎng)絡(luò)安全測(cè)評(píng)機(jī)構(gòu)、網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)以及公安機(jī)關(guān)。
首先,行業(yè)主管部門(mén)和網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)確定本行業(yè)等保等級(jí),完成行業(yè)/領(lǐng)域定級(jí)工作;第二步,運(yùn)營(yíng)單位和網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)根據(jù)所在行業(yè)、業(yè)務(wù)范圍、產(chǎn)品作用等情況完成等保對(duì)象重要性分析,并經(jīng)過(guò)專家評(píng)審;第三步,主管部門(mén)對(duì)等保對(duì)象、定級(jí)進(jìn)行審核、批準(zhǔn),以確定等保對(duì)象數(shù)量、等級(jí);后,根據(jù)等保管理部門(mén)要求辦理備案手續(xù),報(bào)公安機(jī)關(guān)進(jìn)行備案審查,完成全部定級(jí)、備案工作。
在這里需要注意的是,除了一級(jí)等保不需要定級(jí)、備案其余等級(jí)都需要申報(bào)定級(jí)、進(jìn)行備案,其中第三級(jí)等保是國(guó)家對(duì)非銀行機(jī)構(gòu)的高級(jí)認(rèn)證,屬于“監(jiān)管級(jí)別”,由國(guó)家信息安全監(jiān)管部門(mén)進(jìn)行監(jiān)督、檢查,是目前金融支付機(jī)構(gòu)、企業(yè)需要達(dá)到的等級(jí)。
測(cè)評(píng)存在于等保實(shí)施所有環(huán)節(jié)中
在等保實(shí)施過(guò)程中測(cè)評(píng)是很重要環(huán)節(jié),其主要作用是檢測(cè)評(píng)估定級(jí)對(duì)象安全等級(jí)是否符合相應(yīng)等級(jí)基本要求,是落實(shí)等保的重要手段。單位需要樹(shù)立一個(gè)觀念:測(cè)評(píng)不是一個(gè)單獨(dú)存在的環(huán)節(jié),不是通過(guò)一次就可以,只要施行等保,測(cè)評(píng)就會(huì)一直存在。
能夠進(jìn)行測(cè)評(píng)的機(jī)構(gòu)須具有相應(yīng)的資質(zhì),在測(cè)評(píng)時(shí)要取得運(yùn)營(yíng)、使用單位的委托或者等保管理部門(mén)的*。運(yùn)營(yíng)、使用單位通過(guò)登記測(cè)評(píng)進(jìn)行現(xiàn)狀分析,確定系統(tǒng)安全保護(hù)現(xiàn)狀和存在問(wèn)題,并以此確定系統(tǒng)的整改需求。
在等保的定級(jí)、建設(shè)和運(yùn)維過(guò)程中都需要進(jìn)行測(cè)評(píng)工作、獲得測(cè)評(píng)報(bào)告。根據(jù)規(guī)定實(shí)施第三級(jí)等保的等保對(duì)象需要每年進(jìn)行一次測(cè)評(píng),測(cè)評(píng)報(bào)告是開(kāi)展整改加固的重要依據(jù),也是第三級(jí)以上定級(jí)對(duì)象備案的重要附件材料,由此可見(jiàn),測(cè)評(píng)在等保過(guò)程中的重要性。
有人將等保實(shí)施過(guò)程稱為測(cè)評(píng)整改再測(cè)評(píng)再整改直至通過(guò)測(cè)評(píng)的過(guò)程。第三級(jí)等保認(rèn)證需要測(cè)評(píng)內(nèi)容涵蓋等級(jí)保護(hù)安全技術(shù)要求5個(gè)層面和安全管理要求的5個(gè)層面,主要包含信息保護(hù)、安全審計(jì)、通信保密等在內(nèi)的近300項(xiàng)要求,共涉及測(cè)評(píng)分類73類,具體要求可以參照《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》,而測(cè)評(píng)過(guò)程可以參照《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南》。
等級(jí)測(cè)評(píng)過(guò)程
需要注意的是,企業(yè)內(nèi)網(wǎng)信息系統(tǒng)、上云或者托管在其他地方的系統(tǒng)也需要進(jìn)行測(cè)評(píng),根據(jù)“誰(shuí)運(yùn)營(yíng)誰(shuí)負(fù)責(zé),誰(shuí)使用誰(shuí)負(fù)責(zé),誰(shuí)主管誰(shuí)負(fù)責(zé)”的原則,系統(tǒng)責(zé)任主體仍然還是屬于網(wǎng)絡(luò)運(yùn)營(yíng)者,因此不可大意。
等保只是開(kāi)始
目前全國(guó)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)推薦目錄共包含189家機(jī)構(gòu),需要注意的是,等保測(cè)評(píng)不是安全認(rèn)證,沒(méi)有認(rèn)證證書(shū),測(cè)評(píng)報(bào)告和備案證明只能證明該信息系統(tǒng)符合等級(jí)保護(hù)的安全要求,滿足國(guó)家法律法規(guī)的合規(guī)需求。
做到了等保只是保證網(wǎng)絡(luò)安全、信息安全的基本要求,基本保證系統(tǒng)可以平穩(wěn)運(yùn)行,也就是“底線”,并不是說(shuō)做到了等保在安全上就可以,也不是說(shuō)做到了等保在發(fā)生風(fēng)險(xiǎn)事故時(shí)就可以規(guī)避法律制裁。
滿足等保需求只是做到了網(wǎng)絡(luò)安全、數(shù)據(jù)安全的第一步,也僅僅是合規(guī)的開(kāi)始,隨著其他法規(guī)辦法的出臺(tái),合規(guī)要求必然會(huì)越來(lái)越嚴(yán)格。
