我的位置 首页  >  新闻动态  >  国内新闻

干货 | 网络安全等级保护的概念、内涵、流程、基本方法

来源:科技成果转化中心时间:2018-06-20
      

大家都知道,北京益安在线是公安部信息安全等级保护评估中心合作单位,是CIIPT重要信息系统保护人员认证培训指定授权合作伙伴,关于等级保护,e安的公众号一直都在持续地进行介绍,并与【CIIP-A考试认证培训】相辅相成,帮助各位学习了解等级保护这项基本制度、基本国策,掌握开展等级保护工作中的新知识。为了进一步满足各位学习交流的需求,建立了等保交流学习社群,在这里可以得到免费的学习资料,并与各行业等保大咖交流、取经! 

扫描下方二维码,加入进来吧


自《网络安全法》颁布实施之后,等级保护的变化和差异教之前相比还是非常明显的。以前我们感受最深的是支撑等级保护的都是政令、条例等形式的行政管理规范和标准,现如今,等级保护上升到了法律层面,也是从政府层面上升到国家层面的一个跃升。



《网络安全法》的出台实施,使得我们网络安全等级保护工作有了新的认知和了解,方向也更明确了,而紧随着《网络安全法》会出台的一些列新标准,我们也初窥其貌焕然一新,变化不可谓不大。而在等级保护2.0即将全面展开的今天,我们更有理由加强网络安全等级保护工作的学习,储备网络安全等级保护2.0的知识与经验。当然我们谈及的学习,不仅仅是网络信息系统的建设单位、运营、使用单位,还包括为各个主体单位建设网络系统的承建单位,只有更深入的理解了等级测评概念、内涵以及流程、基本方法,才能更好的建设服务网络安全等级保护的网络信息系统,更好的服务委托我们建设系统的单位。


等级保护基本概念

网络安全等级保护是指对网络(含信息系统、数据,下同)实施分等级保护、分等级监管,对网络中使用的网络安全产品实行按等级管理,对网络中发生的安全事件分等级响应、处置。“网络”是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统,包括网络设施、信息系统、数据资源等。



网络安全等级保护工作的内涵

网络安全等级保护工作的内涵在本段内容中展开如下,其中我们看到此处涉及到信息安全工作的整个流程的五个环节,定级、备案、建设整改、等级测评、监督检查网络安全等级保护是对网络进行分等级保护、分等级监管,是将信息网络、信息系统、网络上的数据和信息,按照重要性和遭受损坏后的危害性分成五个安全保护等级(从第一级到第五级,逐级增高);等级确定后,第二级(含)以上网络到公安机关备案,公安机关对备案材料和定级准确性进行审核,审核合格后颁发备案证明;备案单位根据网络的安全等级,按照国家标准开展安全建设整改,建设安全设施、落实安全措施、落实安全责任、建立和落实安全管理制度;选择符合国家要求的测评机构开展等级测评;公安机关对第二级网络进行指导,对第三、第四级网络定期开展监督、检查。


开展网络安全等级保护工作的流程

根据学习《信息安全等级保护管理办法》的规定,了解到等级保护工作主要分为五个环节,分别是定级、备案、建设整改、等级测评和监督检查。开展网络安全等级保护工作,涉及公安机关、保密部门、密码管理部门、网信部门等职能部门,以及网络运营者、第三方测评机构、网络安全企业、专家队伍等。各方应按照国家网络安全等级保护制度要求,按照职责和分工,找准各自定位,密切配合,共同落实《网络安全法》和网络安全等级保护制度,依法维护网络安全。开展网络安全等级保护工作的流程如下。



网络安全等级保护制度是国家网络安全的基本制度、基本国策网络安全等级保护是党中央、国务院决定在网络安全领域实施的基本国策。


由公安部牵头,经过十多年的探索和实践,网络安全等级保护的政策、标准体系已经基本形成,并已在全国范围内全面实施。


网络安全等级保护制度是国家网络安全工作的基本制度,是实现国家对重要网络、信息系统、数据资源实施重点保护的重大措施,是维护国家关键信息基础设施的重要手段。网络安全等级保护制度的核心内容是:国家制定统一的政策、标准;各单位、各部门依法开展等级保护工作;有关职能部门对网络安全等级保护工作实施监督管理。


《网络安全法》规定国家实行网络安全等级保护制度,标志着从1994年的国务院条例(国务院令第147号)上升到国家法律;标志着国家实施十余年的信息安全等级保护制度进入2.0阶段;标志着以保护国家关键信息基础设施安全为重点的网络安全等级保护制度依法全面实施。


网络安全等级保护制度是新时期国家网络安全的基本制度、基本国策,我们将构建网络安全等级保护新的法律和政策体系、新的标准体系、新的技术支撑体系、新的人才队伍体系、新的教育训练体系和新的保障体系。


网络安全等级保护制度进入2.0时代,其核心内容:一是将风险评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处置、自主可控、供应链安全、效果评价、综治考核等重点措施全部纳入等级保护制度并实施;二是将网络基础设施、信息系统、网站、数据资源、云计算、物联网、移动互联网、工控系统、公众服务平台、智能设备等全部纳入等级保护和安全监管;三是将互联网企业的网络、系统、大数据等纳入等级保护管理,保护互联网企业健康发展。


网络安全等级保护是网络安全工作的基本方法

网络安全等级保护也是国家网络安全工作的基本方法。网络安全等级保护工作的目标就是维护国家关键信息基础设施安全,维护重要网络设施、重要信息系统、重要数据的安全。等级保护制度提出了一整套安全要求,贯穿网络和信息系统的设计、开发、实现、运维、废弃等系统工程的整个生命周期,引入了测评技术、风险评估、灾难备份、应急处置等技术。


按照等级保护制度中规定的“定级、备案、建设、测评、检查”这五个规定动作,各单位、各部门开展网络安全工作。


先对所属网络、信息系统和数据开展调查摸底,再对网络进行定级。定级后,第二级以上网络要到公安机关备案,然后按标准进行安全建设整改,开展等级测评。公安机关对网络安全工作开展监督管理,按照不同的网络级别实施不同强度的监管,对进入重要信息系统的测评机构及信息安全产品分等级进行管理,对网络安全事件分等级响应和处置。通过开展一系列重点工作,采取一系列重要的安全管理和技术措施,将网络安全工作落到实处。


在本期的学习中,我们从概念到内涵一直到网络安全工作的基本方法进行了梳理。我们应该时刻记得,我们所面临的任何安全都是有限的安全,不同等级的系统能够抵抗的攻击能力也不同。对信息系统的定级过程,反应的是网络信息系统安全需求的分析过程,其核心思想是要求从信息安全的安全需求出发,对信息系统进行保护。这个核心思想与风险管理、安全工程保持高度一致。有关分级的以及定级,我们可以参考《网络安全等级保护定级指南》,有关贯彻落实网络安全等级保护制度的原则、网络安全等级的划分与监管将于下期和大家一起探讨学习。我们看到的将是,网络安全等级保护的五个级别,在五个级别是逐级增强的。


我们不断提到一点就是,网络安全等级保护制度是我国网络信息安全保障工作的基本制度、基本策略和基本方法。网络安全等级保护制度是集法律、政策、方针、方法论为一体的一个体系性的基本制度。网络信息安全是关乎我国国家安全、国民生计、经济命脉、社会稳定、法人及公民权益大事,而一套发展并不断成熟完备的体系,使得我们在网络信息安全工作中不可或缺的指引与行动指南。



北京益安在线

公安部信息安全等级保护评估中心合作单位

CIIPT重要信息系统安全保护人员培训

指定授权合作伙伴


益安在线的等保培训课程全部由信息安全专家授课,考试通过后取得公安部颁发的CIIP-A证书,进而为从事信息安全等级保护工作人员、网络运营者提供了专业规范和高效的支撑,在管理和技术方面也有效地完善安全保障能力。CIIP-A是个人从事网络安全事业的敲门砖,是安全企业等保服务能力最为直接有效的证明,更是行业认可的重要考核依据。

 

国家重要信息系统安全保护人员(CIIP-A)认证

想要学到更多

马上点击阅读原文报名吧



       (科技成果转化中心供稿)