在新應(yīng)用����、新業(yè)態(tài)下的安全要求下���,在以《中華人民共和國網(wǎng)絡(luò)安全法》的立法依據(jù)下�����,備受關(guān)注的網(wǎng)絡(luò)安全等級保護制度2.0國家標(biāo)準(zhǔn)于2019年12月1日正式實施。
等保2.0是由公安部牽頭組織開展的等級保護重點標(biāo)準(zhǔn)國家標(biāo)準(zhǔn)的工作����,在修訂通用安全要求的基礎(chǔ)上,增加了關(guān)于云計算���、大數(shù)據(jù)���、移動互聯(lián)、工控�����、物聯(lián)網(wǎng)等擴展要求����,內(nèi)容涵蓋了網(wǎng)絡(luò)安全基本要求、安全通用要求及安全擴展要求。
下文擬從等保2.0的文件規(guī)定����、操作流程以及客體防護、開展之后四個方面的常見問題作出解答��。
一�����、文件規(guī)定
1.1 等級保護和等級保護2.0有什么區(qū)別?
回答:等級保護是指對國家重要信息����、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸�����、處理這些信息的信息系統(tǒng)分等級實行安全保護��,對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級管理����,對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)、處置�����。
“等級保護2.0”或“等保2.0”是一樣的,是指按新的等級保護標(biāo)準(zhǔn)規(guī)范開展工作的統(tǒng)稱��。通常認(rèn)為是《中華人民共和國網(wǎng)絡(luò)安全法》頒布實行后提出���,以2019年12月1日����,網(wǎng)絡(luò)安全等級保護基本要求��、測評要求和設(shè)計技術(shù)要求更新發(fā)布新版本為象征性標(biāo)志���。
1.2 等級保護是否是強制性的,可不可以不做?
回答:《中華人民共和國網(wǎng)絡(luò)安全法》第二十一條規(guī)定網(wǎng)絡(luò)運營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護制度的要求�����,履行相關(guān)的安全保護義務(wù)�。同時,二十一條進一步要求:網(wǎng)絡(luò)運營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護制度的要求進行網(wǎng)絡(luò)安全保護�����,網(wǎng)絡(luò)運營者不履行等保義務(wù)的,將被給予警告并處以罰款��,構(gòu)成犯罪的��,依法追究刑事責(zé)任��。另外�����,第七十六條定義了網(wǎng)絡(luò)運營者是指網(wǎng)絡(luò)的所有者���、管理者和網(wǎng)絡(luò)服務(wù)提供者����。
換言之��,網(wǎng)絡(luò)運營者必須按網(wǎng)絡(luò)安全法開展等級保護工作���,拒不履行等保義務(wù)的��,有可能要面臨刑事處罰���。
1.3 我如何確定本單位是否需要需要做等保?
回答:首先��,等保的保護對象并不是特定的機構(gòu)或者公司����,而是機構(gòu)所使用的特定的信息系統(tǒng)�。等保關(guān)心的是信息系統(tǒng)和信息系統(tǒng)運轉(zhuǎn)依賴的數(shù)據(jù)、設(shè)備���、網(wǎng)絡(luò)��、系統(tǒng)和人員����。
第二��,評價一個系統(tǒng)是否應(yīng)該做等保��,核心問題并不是這個系統(tǒng)有多大�����,而是這個系統(tǒng)一旦遭受破壞����,是否會給國家安全、社會秩序��、公共利益以及其他公民��、法人或組織的合法權(quán)益造成嚴(yán)重?fù)p害�����。
例如�����,一個大型企業(yè)的OA系統(tǒng)一般需要進行等保保護��,但該單位的食堂點餐系統(tǒng)通常并不需要做等保����。
第三,定級時定為一級的不用做備案����。對擬定為第二級以上的網(wǎng)絡(luò),其運營者應(yīng)當(dāng)組織專家評審;有行業(yè)主管部門的�,應(yīng)當(dāng)在評審后報請主管部門核準(zhǔn);
1.4 不同的等保級別大致是如何劃分的?
回答:
第一級(自主保護級):一般適用于小型私營、個體企業(yè)��、中小學(xué),鄉(xiāng)鎮(zhèn)所屬信息系統(tǒng)�、縣級單位中一般的信息系統(tǒng)。系統(tǒng)受到破壞后���,會對公民�����、法人和其他組織的合法權(quán)益造成損害��,但不損害國家安全�、社會秩序和公共利益�。
第二級(指導(dǎo)保護級):一般適用于縣級單位中的重要信息系統(tǒng);地市級以上國家機關(guān)、企事業(yè)單位內(nèi)部一般的信息系統(tǒng)��。例如非涉及工作秘密����、商業(yè)秘密��、敏感信息的辦公系統(tǒng)和管理系統(tǒng)等���。信息系統(tǒng)受到破壞后���,會對公民�����、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害�����,或者對社會秩序和公共利益造成損害�����,但不損害國家安全�。
第三級(監(jiān)督保護級):一般適用于地市級以上國家機關(guān)��、企業(yè)��、事業(yè)單位內(nèi)部重要的信息系統(tǒng)�,例如涉及工作秘密、商業(yè)秘密���、敏感信息的辦公系統(tǒng)和管理系統(tǒng);跨省或全國聯(lián)網(wǎng)運行的用于生產(chǎn)�����、調(diào)度�、管理、指揮�、作業(yè)、控制等方面的重要信息系統(tǒng)以及這類系統(tǒng)在省��、地市的分支系統(tǒng);中央各部委����、省(區(qū)、市)門戶網(wǎng)站和重要網(wǎng)站;跨省連接的網(wǎng)絡(luò)系統(tǒng)等�。信息系統(tǒng)受到破壞后,會對社會秩序和公共利益造成嚴(yán)重?fù)p害����,或者對國家安全造成損害。
第四級(強制保護級):一般適用于國家重要領(lǐng)域�����、重要部門中的特別重要系統(tǒng)以及核心系統(tǒng)��。例如電力����、電信、廣電�����、鐵路�����、民航�、銀行、稅務(wù)等重要����、部門的生產(chǎn)、調(diào)度���、指揮等涉及國家安全�����、國計民生的核心系統(tǒng)���。信息系統(tǒng)受到破壞后,會對社會秩序和公共利益造成特別嚴(yán)重?fù)p害,或者對國家安全造成嚴(yán)重?fù)p害��。
第五級(?���?乇Wo級):一般適用于國家重要領(lǐng)域、重要部門中的極端重要系統(tǒng)��。信息系統(tǒng)受到破壞后�,會對國家安全造成特別嚴(yán)重?fù)p害。信息系統(tǒng)安全等級保護的定級準(zhǔn)則和等級劃分���。
1.5 等保2.0安全通用要求與擴展安全要求之間的關(guān)系?
回答:擴展要求是為了滿足近年來越來越復(fù)雜的等級保護對象(云計算��、物聯(lián)網(wǎng)�����、移動互聯(lián)����、工業(yè)控制系統(tǒng)等)而專門獨立出來的安全章節(jié)�����,和通用章節(jié)關(guān)系一致。對實施單位而言����,如系統(tǒng)未涉及到云計算�����、物聯(lián)網(wǎng)等對象�����,則擴展要求非必須��。
二�����、操作流程
2.1 等保的實施單位���,是需要主動申報還是會有主管部門來提出���,還是由第三方機構(gòu)來發(fā)出?
回答:根據(jù)有關(guān)規(guī)定,等保的實施單位����,可以主動申報也可由主管部門提出��。但是實施單位不要心存僥幸心理����,認(rèn)為自己可以免去評審�����。根據(jù)《網(wǎng)絡(luò)安全法》21條規(guī)定����,實行網(wǎng)絡(luò)安全等級保護制度,不做等??赡軙蛔肪糠蓡栴}。另外�,當(dāng)?shù)氐木W(wǎng)安部門也會檢查,并要求企業(yè)履行等保義務(wù)����。
2.2 完整的等保評審流程是什么樣的?
回答:等保五步:2007年公安部43號文《信息系統(tǒng)等級保護管理辦法》
定級:準(zhǔn)備定級材料
備案:到網(wǎng)安處備案
安全建設(shè):進行網(wǎng)絡(luò)安全等級保護安全建設(shè)
測評:進行相應(yīng)等級的測評
監(jiān)督檢查:網(wǎng)安部門進行監(jiān)督檢查,二級兩年測評��,三級每年測評���,四級半年�����。
2.3 如何看待等保2.0在定級方面做出的改進?
回答:首先�,等保2.0中取消了“自主定級�、自主保護”的定級原則。采取專家評審, 主管部門審核的定級方式����。
其次,定級流程一般應(yīng)當(dāng)包括確定定級對象�����、初步確定等級���、專家評審���、主管部門審核以及公安機關(guān)備案審查等步驟,由公安機關(guān)審查通過后最終確定定級對象的安全保護等級�����。對于被初步確定為第四級的定級對象,在開展專家評審工作時���,其運營使用單位還應(yīng)當(dāng)報請國家信息安全等級保護專家評審委員會進行評審�����。
再次�,在具體定級時���,基礎(chǔ)信息網(wǎng)絡(luò)����、云計算平臺和大數(shù)據(jù)平臺平臺原則上應(yīng)不低于其承載的等級保護對象的安全保護等級�。比如阿里公有云被評定為3級,阿里公有云上客戶如果評定為2級是可以通過評審的���,如果被評定為4級��,則不能通過評審�����。
最后�����,強化了對公民����、法人和其他組織合法權(quán)益的保護。等保1.0中����,對“公民�����、法人和其他組織”權(quán)益遭到特別嚴(yán)重侵害時���,確定的保護等級為二級���。而在等保2.0中,等級被確定為三級��。
2.4 公安機關(guān)主要審查哪些內(nèi)容?
回答:公安機關(guān)主要審查:
1�、備案材料填寫是否完整,是否符合要求�����,其紙質(zhì)材料和電子文檔是否一致;
2、信息系統(tǒng)所定安全保護等級是否準(zhǔn)確�。
2.5 怎么做備案申請?流程是什么?
回答:第二級(含)以上信息系統(tǒng)運營、使用單位到保衛(wèi)關(guān)系所在地公安機關(guān)網(wǎng)安部門辦理備案手續(xù)(其中省級單位網(wǎng)站���、信息系統(tǒng)到省公安廳網(wǎng)安總隊辦理�����,地市級單位網(wǎng)站����、信息系統(tǒng)到同級公安局網(wǎng)安支隊辦理)����。申請時需攜帶的材料:(1)《信息系統(tǒng)安全等級保護備案表》一式兩份;(2)《信息系統(tǒng)安全等級保護定級報告》一式兩份;若信息系統(tǒng)為第三級及以上,還應(yīng)提供:(3)系統(tǒng)拓?fù)浣Y(jié)構(gòu)及說明;(4)系統(tǒng)安全組織機構(gòu)及管理制度;(5)系統(tǒng)安全保護設(shè)施設(shè)計方案或改建實施方案;(6)系統(tǒng)使用的安全產(chǎn)品清單以及認(rèn)證���、銷售許可證明;(7)信息系統(tǒng)等級保護測評專家評審意見;(8)上級主管部門評審意見;(9)測評后符合系統(tǒng)安全保護等級測評的技術(shù)檢測評估報告;(紙質(zhì)����、電子版各一份���,電子版需刻盤)
特別注意:備案單位將上述(1)-(8)材料提交到所在地公安機關(guān)網(wǎng)安部門�,主管部門經(jīng)審核資料無誤后,將備案系統(tǒng)對應(yīng)的等級保護備案編號發(fā)放到備案單位�����。收到備案表號后���,備案單位即可組織第三方等級保護測評機構(gòu)對系統(tǒng)進行等級保護測評工作���。完成后再將該項材料提交到所在地公安機關(guān)網(wǎng)安部門。
2.6 組織機構(gòu)在外地��,機房和運維在北京�。這種情況能在北京做定級備案和測評嗎?
回答:可以���。
備案是有兩個條件:第一是機構(gòu)注冊地���,一個是系統(tǒng)開發(fā)和運維地,主要看公司重點在那邊���,如果機房����、注冊地在廣州,運營和維護都在北京�����,廣州沒有實際人員辦公��,那么就在北京備案�����。
以前備案是有地域限制的���,因為測評要當(dāng)?shù)鼐W(wǎng)安部門的確認(rèn)�,現(xiàn)在沒有這個限制了�,運維地和注冊地均可備案,主要看當(dāng)?shù)鼐W(wǎng)安是否受理���。但如果沒有實際的辦公地點����,這是不可以的。
2.7 等保測評一般需要多長時間?
回答:一個二級或三級的系統(tǒng)整體持續(xù)周期1-2個月?�,F(xiàn)場測評周期一般1周左右�,具體時間還要根據(jù)信息系統(tǒng)數(shù)量及信息系統(tǒng)的規(guī)模,以及測評方與被測評方的配合情況等有所增減��。小規(guī)模安全整改(管理制度�、策略配置技術(shù)整改)2-3周,出具報告時間1周����。
三、客體防護
3.1 部署在公有云上的服務(wù)是否需要通過等保測評?
回答:需要�。依據(jù)等保2.0的相關(guān)規(guī)定,在對公有云環(huán)境下開展等級保護工作需要遵循如下原則:
?���、?
云計算平臺不得承載高于其安全保護等級的業(yè)務(wù)應(yīng)用系統(tǒng);比如阿里公有云被評定為3級,阿里公有云上客戶如果評定為2級是可以通過評審的�����,而公有云上的客戶如果涉及到金融業(yè)務(wù)會被評定為4級�����,則不能通過評審����,只能選擇被評定為4級的阿里金融云。
?��、?須確保云基礎(chǔ)設(shè)施���、運維地點、各種數(shù)據(jù)都部署或存儲于中國境內(nèi);
云開展等級保護一般分為兩個部分:云服務(wù)商和云服務(wù)客戶����,二者都是需要做等保的,彼此不可取代�。其中,對云服務(wù)商本身�,等保2.0明確規(guī)定,需要先定級測評����,再提供云服務(wù);而對云服務(wù)客戶來說,比如某企業(yè)系統(tǒng)在嵌入阿里云后����,還需要進行單獨備案并進行定級備案�����。
3.2 如何看待等保2.0新增垃圾郵件的相關(guān)描述?
回答:在等保2.0中���,新增垃圾郵件防范要求,三級以上系統(tǒng)中做出對垃圾郵件的防護要求����,原文描述為
“應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點處對垃圾郵件進行檢測和防護,并維護垃圾郵件防護機制的升級和更新”���。
3.3 如何看待等保2.0新增可信計算的相關(guān)描述?
回答:可信計算是在計算和通信系統(tǒng)中廣泛使用基于硬件安全模塊支持下的可信計算平臺�����,以提高系統(tǒng)整體的安全性�����?����!毒W(wǎng)絡(luò)安全等級保護基本要求》中強化了可信計算,充分體現(xiàn)一個中心、三重防御的思想���,由被動防御變成主動防御��,并強化可信計算安全技術(shù)要求的使用�����。
3.4 如何看待等保2.0對“高中低”位安全運維的相關(guān)描述?
對比等保1.0��,等保2.0更為強調(diào)了安全運維的概念:不管是設(shè)備的維護還是威脅的分析處理����,一定是人借助工具和數(shù)據(jù)完成安全流程的要求����,所以到最后拼的還是人的能力。按照能力級別的劃分�����,可以將安全運維進行高���、中�、低劃分為三級的安全運維體系,如下圖所示:
3.5 對一些聯(lián)合體的項目如何處理?誰將作為等保主體?
回答:這一認(rèn)定過程非常通俗易懂:對沒有及時評審的系統(tǒng)�,一旦發(fā)生網(wǎng)絡(luò)安全事故,網(wǎng)安部門會找到誰���,誰就是主體���,認(rèn)定權(quán)由網(wǎng)安部門而定。
3.6 有沒有哪些安全產(chǎn)品對通過等保測評有特殊的優(yōu)勢?
回答:安全產(chǎn)品有銷售許可證即可���,并沒有“哪一種”特殊的產(chǎn)品有獨特的優(yōu)勢����。
可根據(jù)實際情況�����,如考慮等保測評結(jié)果分?jǐn)?shù)與等級���、業(yè)務(wù)系統(tǒng)風(fēng)險與防護要求等綜合考慮安全通信網(wǎng)絡(luò)防護�、安全區(qū)域邊界防護����、安全計算環(huán)境防護���、安全管理中心����、安全建設(shè)與運維等投入。
3.7 我單位有大數(shù)據(jù)系統(tǒng)����、物聯(lián)網(wǎng)系統(tǒng)、云系統(tǒng)如何按照等保2.0開展工作?
回答:大數(shù)據(jù)系統(tǒng)��、物聯(lián)網(wǎng)系統(tǒng)����、云計算平臺和云業(yè)務(wù)系統(tǒng)按照等保2.0相關(guān)標(biāo)準(zhǔn)分別進行定級、備案��、方案設(shè)計����、集成實施、系統(tǒng)測評等相關(guān)工作�。
大數(shù)據(jù)系統(tǒng)應(yīng)作為單獨定級對象進行定級,安全責(zé)任主體相同的大數(shù)據(jù)��、大數(shù)據(jù)平臺和應(yīng)用可作為一個整體對象定級。
物聯(lián)網(wǎng)主要包括感知����、網(wǎng)絡(luò)傳輸和處理應(yīng)用等特征要素,應(yīng)將以上要素作為一個整體對象定級���,各要素不單獨定級���。
云平臺單獨作為定級對象定級、云租戶的等級保護對象也應(yīng)單獨作為定級對象定級�����。對于大型云計算平臺����,應(yīng)將云計算基礎(chǔ)設(shè)施和有關(guān)輔助服務(wù)系統(tǒng)化為不同的定級對象。
在設(shè)計安全解決方案時�����,不僅要滿足安全通用要求的共性安全需求�,還要考慮大數(shù)據(jù)、物聯(lián)網(wǎng)和云計算的擴展安全要求的個性安全需求。
四����、開展之后
4.1 等保能否成為免責(zé)的免死金牌?
回答:事實上從網(wǎng)絡(luò)安全法實施以來的各類處罰案例來看,并不應(yīng)該把獲得等保合規(guī)證書作為網(wǎng)絡(luò)信息安全工作免責(zé)的目標(biāo)��,而是應(yīng)該理解���、使用網(wǎng)絡(luò)安全等級保護制度標(biāo)準(zhǔn),結(jié)合業(yè)務(wù)的特點開展體系化的網(wǎng)絡(luò)安全管理工作����。
4.2 是否購買了符合等保技術(shù)要求的網(wǎng)絡(luò)安全設(shè)備就能夠做到抵御網(wǎng)絡(luò)風(fēng)險?
回答:首先,網(wǎng)絡(luò)安全產(chǎn)品是最低成本�、最高效率、解決最基本網(wǎng)絡(luò)安全問題的手段和工具��,倘若全面正確的部署的確能夠有效抵御大部分風(fēng)險����,但要說能抵御全部風(fēng)險就太夸張了。
其次�����,工具購置齊全后如何利用工具開展有效的網(wǎng)絡(luò)安全防護規(guī)劃與執(zhí)行是至關(guān)重要的,換言之��,更關(guān)鍵的要素是人��。
因此僅認(rèn)為從合規(guī)角度要求購置網(wǎng)絡(luò)安全產(chǎn)品就算開展了等保工作�,是一種看似簡單實際是片面的思路。
4.3 如何證明自己已經(jīng)開展過等保工作?
回答:測評后無合格證書����,但是有備案證明或測評報告,即加蓋測評機構(gòu)公章或測評專用章的測評報告以及有主管部門公章的系統(tǒng)備案證明或系統(tǒng)定級備案資料�����。
這是因為等級保護采用備案與測評機制而非認(rèn)證機制���,公安機關(guān)只對信息系統(tǒng)的備案情況進行審核����,對符合等級保護要求的��,頒發(fā)信息系統(tǒng)安全等級保護備案證明�,發(fā)現(xiàn)不符合有關(guān)標(biāo)準(zhǔn)的,通知備案單位予以糾正��,發(fā)現(xiàn)定級不準(zhǔn)的,通知備案單位重新審核確定�。
4.4 等保測評一般需要多長時間可以測完?
回答:一個二級或三級的系統(tǒng)整體持續(xù)周期1-2個月。
現(xiàn)場測評周期一般1周左右���,具體時間還要根據(jù)信息系統(tǒng)數(shù)量及信息系統(tǒng)的規(guī)模��,以及測評方與被測評方的配合情況等有所增減����。
小規(guī)模安全整改(管理制度����、策略配置技術(shù)整改)2-3周�,出具報告時間1周。
4.5 如何快速理解等保2.0的測評結(jié)果?
回答:等級保護2.0測評結(jié)果包括得分與結(jié)論評價;得分為百分制�����,及格線為70分;結(jié)論評價分為優(yōu)���、良�、中���、差四個級別��,70分以上才算及格����,90分以上算優(yōu)秀。
五���、結(jié)語
等級保護工作是國家網(wǎng)絡(luò)安全的基礎(chǔ)性工作���,是網(wǎng)絡(luò)安全法要求我們履行的一項安全責(zé)任。如今數(shù)字經(jīng)濟逐漸成為我國經(jīng)濟發(fā)展的新引擎�,而數(shù)字經(jīng)濟的要素又是信息安全。
為了應(yīng)對數(shù)據(jù)這一領(lǐng)域的國家安全風(fēng)險與挑戰(zhàn)�����,《網(wǎng)絡(luò)安全法》第21條明確規(guī)定“國家實行網(wǎng)絡(luò)安全等級保護制度����,要求網(wǎng)絡(luò)運營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護制度要求,履行安全保護義務(wù)”�����。
綜上,具備法律效力的等保2.0不僅承載了維護當(dāng)今信息安全的重任�����,還強化了對公民�����、法人和其他組織合法權(quán)益的保護���,將很大促進國內(nèi)信息相關(guān)產(chǎn)業(yè)的推廣及應(yīng)用�����。
轉(zhuǎn)自:八分量百家號
小編有話說:等級保護工作開展��,目的是加強企業(yè)的網(wǎng)絡(luò)安全防護能力和讓企業(yè)以及相關(guān)監(jiān)管部門更好了解企業(yè)的網(wǎng)絡(luò)安全建設(shè)情況,因此�����,需要認(rèn)真落實�����,切莫敷衍了事。
等保測評咨詢
