進入等級保護2.0時代,根據資訊技術發展應用和網絡安全态勢,不斷豐富了制度内涵、拓展保護範圍、完善監管措施,逐漸健全網絡安全等級保護制度政策、标準和支撐體系。密碼作為保障網絡和資訊安全的核心技術和基礎支撐,關系到國家安全、國計民生和社會公共利益。随着網際網路的進一步發展,商密技術應用的普及,加強相關安全标準認真體系的建設和管理是重中之重。這其中就涉及到等保測評、密碼測評、關基保護、密碼技術标準、定級備案等有關政策條例的問題,還有等保與密碼、測評和密評之間的關系,如何進行各項測評,找哪些機構,執行後果等各類相關問題,接下來我們就用3個篇幅,集合48個問題,一次系統解決大家可能最關心的點,準備好小闆凳了嗎?重點都給你劃分好咯!
(下)
28.如何确定業務系統屬于等保幾級?
答:可參照等級保護定級指南,從業務系統安全和系統服務安全兩個方面評價當業務系統被破壞時對客體的影響程度,取兩個方面較高的等級。當确定系統級别後,應開展專家評審對系統定級合理性進行稽核。如有行業主管部門制訂的定級依據,可直接參照采納行業定級标準定級。
29.買/用哪些安全産品能過等保?
答:可根據實際情況,如考慮等保測評結果分數與等級、業務系統風險與防護要求等綜合考慮安全通信網絡防護、安全區域邊界防護、安全計算環境防護、安全管理中心、安全建設與運維等投入。建議咨詢專業的安全咨詢服務機構定制解決方案。
30.現在還沒做等保還來得及嗎?有什麼影響?
答:來得及。種一棵樹,最好的時間是十年前,其次是現在。可先根據定級備案要求和流程,先向公安遞交定級備案檔案,測評與整改預算提上日程,在經費未落實前,可以先進行系統定級、差距分析、整改計劃制訂等工作。
31.業務系統在雲上,安全是雲平台負責的吧?
答:根據《資訊安全技術 網絡安全等級保護基本要求》(GB/T 22239-2019)附錄D,雲服務商根據提供的IaaS、PaaS、SaaS模式承擔不同的平台安全責任。業務系統上雲後,雲租戶與雲平台服務商之間應遵循責任分擔矩陣共同承擔相應的安全責任。也就是說雲平台承擔的是雲平台的安全責任,部署在雲平台上的系統或資料所有者,應對該系統或資料承擔網絡安全保護責任。
32.做完等級保護測評後整改周期是多久?
答:雖無明确規定,但測評報告一般是整改達标後才出具,除非可以接受結論為“差”的報告或不在乎分數。另外,等保工作本身就是為了提升網絡安全防護水準,尤其是測評中發現的高風險建議立刻克服困難,抓緊整改。不少機關就是因為“高風險”問題沒及時整改而中招,導緻機關承受了巨大的經濟和聲譽損失。
33.等級保護有哪些規範标準?
答:等級保護涉及面廣,相關的安全标準、規範、指南還有很多正在編制或修訂中。常用的規範标準包括但不限于如下幾個:
GB 17859-1999 計算機資訊系統安全保護劃分準則
GB/T 31167-2014 資訊安全技術 雲計算服務安全指南
GB/T 31168-2014 資訊安全技術 雲計算服務安全能力要求
GB/T 36326-2018 資訊技術 雲計算雲服務營運通用要求
GB/T 25058-2019 資訊安全技術 網絡安全等級保護實施指南
GB/T 25070-2019 資訊安全技術 網絡安全等級保護安全設計技術要求
GB/T 28448-2019 資訊安全技術 網絡安全等級保護測評要求
GB/T 28449-2018 資訊安全技術 網絡安全等級保護測評過程指
GB/T 22239-2019 資訊安全技術 網絡安全等級保護基本要求
GB/T 22240-2020 資訊安全技術 網絡安全安全等級保護定級指南
GB/T 36958-2018 資訊安全技術 網絡安全等級保護安全管理中心技術要求
GM/T 0054-2018 資訊系統密碼應用基本要求GB/T 35273-2020 資訊安全技術 個人資訊安全規範
34.等級保護步驟或流程是什麼樣的?
答:根據資訊系統等級保護相關标準,等級保護工作總共分五個階段,分别為:系統定級、系統備案、安全建設/整改、等級測評、主管/監管機關定期開展監督檢查。
35.有哪些情況系統定級無需專家評審?
答:資訊系統營運使用機關有上級主管部門,且對資訊系統的安全保護等級有定級指導意見或稽核準許的,可無需在進行等級專家評審。主管部門一般指行業的上級主管部門或監管部門。如果是跨地域聯網營運使用的資訊系統,則必須由上級主管部門審批,確定同類系統或分支系統在各地域分别定級的一緻性。具體要求建議咨詢屬地網安
36.業務系統在内/專網,還需要做等保嗎?
答:需要。内網與專網的非涉密系統都屬于等級保護範疇,雖然内/專網相對于網際網路,業務系統的使用者比較明确或可控,但内網不代表安全。
37.等級保護測評結論不符合是不是等級保護工作就白做了?
答:不是。等級保護測評結論為“差”,表示目前該資訊系統存在高危風險或整體安全性較差,沒有達到相應标準要求。但是這并不代表等級保護工作白做了,即使你拿着不符合的測評報告,主管機關也是承認你們機關今年的等級保護工作已經開展過了,隻是目前的問題較多,沒達到相應的标準,需要抓緊整改。
38.拿什麼證明開展過等級保護工作?
答:一般情況是備案證明和測評報告,測評報告應加蓋測評機構公章和測評專用章。
39.系統在雲上,還要做等保嗎?
答:要做。業務上雲有多種情況,如在公有雲、私有雲、專有雲等不同屬性的雲上,并采用IaaS、PaaS、SaaS、IDC托管等不同服務,雖然安全責任邊界發生了變化,但網絡營運者的安全責任不會轉移。根據“誰營運誰負責、誰使用誰負責、誰主管誰負責”的原則,應承擔網絡安全責任進行等級保護工作。是否要通過測評這個需根據系統的重要程度,依據國家标準和相關部門要求來确定。
40.等保的測評内容有哪些?
答:通用要求包含:技術要求(安全實體環境、安全通信網絡、安全區域邊界、安全計算環境、安全管理中心);管理要求(安全管理制度、安全管理機構、安全人員管理、安全建設管理、安全運維管理);雲計算、物聯網、移動互聯、工控、大資料擴充标準以及行業标準。
41.“商密”測評的具體流程是什麼?
答:商用密碼應用安全評估的工作流程大緻包括确定評估對象、開展測評工作、輸出密碼測評報告、密評結果上報四個階段。
42.“等保”與“商密”的評估對象有什麼差別?
答:等級保護對象基本覆寫了全部的網絡和資訊系統,第三級以上的網絡安全等級保護對象(部分)同時為關基和密評的評估對象;商密對象含關鍵基礎設施、第三級等級保護對象和部分重要的資訊系統。
43.“等保”與“商密”的評估周期有什麼差別?
答:等級測評、商密在實際開展過程中應銜接進行,第三級以上的等級保護對象、商用密碼應用安全的評估周期均為每年至少一次。
44.“等保”與“商密”的評估結果有什麼差別?
答:網絡安全等級保護評估結論為優、良、中、差;商密的測評結論有符合、部分符合、不符合;等級測評和商密都引入了風險分析,依據資産、威脅、脆弱性進行指派,并計算風險值進行判定,風險結論有高、中、低;關鍵資訊基礎設施保護基于風險評估的方法,重在分析安全風險可能引起的安全事件及總體安全狀況。當網絡和資訊系統存在高風險時,等級測評和商密的結論均為不符合(差)。
45.“等保”和“網絡安全法”什麼關系?
答:等級保護工作是國家網絡安全的基礎性工作,是“網絡安全法”要求我們履行的一項安全責任。“網絡安全法”是網絡安全領域的基本法,從國家層面對等級保護工作的法律認可,網絡安全法中明确的提到資訊安全的建設要遵照等級保護标準來建設。
46.哪些企業和機關應該開展等保工作?
答:根據 GB/T 22239-2019的相關規定:劃重點:(1)中國境内營運的;(2)政府、事業機關、對外提供服務的企業;(3)除資訊系統外,還包括:基礎網絡、雲平台、大資料、物聯網、工控系統和移動互聯。也就是說,基本涵蓋了企業的對外提供服務的業務系統和産品。
47.購買了符合等保要求的安全裝置就能有效抵禦網絡風險?
答:裝置隻是工具,是否能抵禦風險,還有看怎麼用!不少機關花錢買了安全裝置,但缺乏技術人員支援,或者安全意識淡薄,安全産品不僅起不到安全作用,反而會影響業務連續性。
48.做完等級測評就沒有安全問題了?
答:很多人認為,完成等保測評就萬事大吉了。其實,不然。等保測評标準隻是基線的要求,通過測評、整改,落實等級保護制度,确實可以規避大部分的安全風險。但是,安全是一個動态而非靜止的過程,不是通過一次測評,就可以一勞永逸的。 企業通過落實等保安全要求,并嚴格執行各項安全管理的規章制度,基本能做到系統的安全穩定運作。但依然不能百分百保證系統的安全性。是以,要通過等級保護測評工作開展,以“一個中心、三重防護”好“三化六防”等為指導,不斷提升網絡攻防能力。