2022等保合規指南 第一篇
四個核心問答
幫你讀懂【等保】
等級保護制度在我國已經推廣了近20年了(如下圖),從等保制度的逐漸成熟,到整個制度被上升到法律高度,無一不證明了網絡安全是我國網絡強國戰略的重要組成部分,而網絡安全等級保護是落實網絡安全的一項基礎性重點工作。
為了幫助使用者快速了解網絡安全等級保護工作,山石網科精心準備了四個核心問答,快速有效地幫助使用者建構認知。
問題一:
2022年,開展等保工作首先要了解哪些?
開展等級保護首先需要了解等級保護的概念以及等保1.0和等保2.0怎麼區分,隻有這樣才能正确的參考等級保護标準要求。
那什麼是等保,在《關于資訊安全等級保護工作的實施意見》(公通字[2004]66号)中明确提出“資訊安全等級保護是指對國家秘密資訊、法人和其他組織及公民的專有資訊以及公開資訊和存儲、傳輸、處理這些資訊的資訊系統分等級實行安全保護,對資訊系統中使用的資訊安全産品實行按等級管理,對資訊系統中發生的資訊安全事件分等級響應、處置。”
這時候相信細心的讀者會發現我們引用的主體是“資訊安全等級保護”,在等保2.0前網絡安全法和等級保護條例尚未釋出的等保1.0階段的統一稱謂就是“資訊安全等級保護”,“網絡安全等級保護”源自于《網絡安全等級保護條例(征求意見稿)》,“網絡”是指由計算機或者其他資訊終端及相關裝置組成的按照一定的規則和程式對資訊進行收集、存儲、傳輸、交換、處理的系統。由此可見,主體名稱的差別是劃分等保1.0和等保2.0的重要标志,它影響了等級保護工作的保護對象、保護措施等諸多要求,是我們當下開展等保工作之前必須弄明白的先決條件。
最後,2022年開展應當參考的标準如下,友善各位讀者收集、參考。
- 《計算機資訊系統安全保護等級劃分準則》GB 17859-1999(上位标準)
- 《資訊安全技術 網絡安全等級保護基本要求》GB/T 22239-2019
- 《資訊安全技術 網絡安全等級保護測評要求》GB/T 28448-2019
- 《資訊安全技術 網絡安全等級保護安全設計技術要求》GB/T 25070-2019
- 《資訊安全技術 網絡安全等級保護實施指南》GB/T25058-2019
- 《資訊安全技術 網絡安全等級保護定級指南》GB/T22240-2020
- 《資訊安全技術 網絡安全等級保護測評過程指南》GB/T 28449-2018
- 《資訊安全技術 網絡安全等級保護測試評估技術指南》GB/T 36627-2018
- 《資訊安全技術 網絡安全等級保護安全管理中心技術要求》GB∕T 36958-2018
- 《資訊安全技術 網絡安全等級保護測評機構能力要求和評估規範》GB_T 36959-2018
問題二:
2022年等保适用範圍是什麼?
答案是:等保适用範圍是所有中國境内的非個人及家庭自建網絡。
首先,《網絡安全等級保護條例(征求意見稿)》中的第二條【适用範圍】明确規定“在中華人民共和國境内建設、營運、維護、使用網絡,開展網絡安全等級保護工作以及監督管理,适用本條例。個人及家庭自建自用的網絡除外。”
其次,參照《資訊安全技術 網絡安全等級保護定級指南》要求目前從類型來分可以劃分為:基礎資訊網絡(電信網、廣播電視傳輸網、網際網路、業務專網等)、資訊系統(采用傳統技術的和新興技術的)以及資料資源(傳統電子資料及大資料)。從計算環境來看目前包括:通用場景、雲計算場景、移動互聯場景、物聯網場景、工業控制場景(另大資料場景作為附錄可做參考)。
問題三:
2022年,不做等保行不行?
答案是不行的,不做等保屬于違法行為,使用者應當盡快完成等級保護工作。
參照《網絡安全法》第二十一條 “國家實行網絡安全等級保護制度。網絡營運者應當按照網絡安全等級保護制度的要求,履行下列安全保護義務,保障網絡免受幹擾、破壞或者未經授權的通路,防止網絡資料洩露或者被竊取、篡改:
(一)制定内部安全管理制度和操作規程,确定網絡安全負責人,落實網絡安全保護責任;
(二)采取防範計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施;
(三)采取監測、記錄網絡運作狀态、網絡安全事件的技術措施,并按照規定留存相關的網絡日志不少于六個月;
(四)采取資料分類、重要資料備份和加密等措施;
(五)法律、行政法規規定的其他義務。”
問題四:
2022年,等保工作如何開展?
山石網科基于多年等保項目經驗及最佳實踐,通過定級咨詢服務、協助備案服務、風險評估與差距分析服務、安全規劃與整改方案設計服務、整改內建實施服務、自測評服務、協助測評服務、安全營運保障服務為使用者提供整個建設生命周期的一站式服務,助力使用者快速、安全、可靠的達成等保合規目标。
完整的等級保護流程主要參照《等級保護條例(征求意見稿)》第六條【網絡營運者責任義務】中的要求,網絡營運者應當依法開展網絡定級備案、安全建設整改、等級測評和自查等工作,采取管理和技術措施,保障網絡基礎設施安全、網絡運作安全、資料安全和資訊安全,有效應對網絡安全事件,防範網絡違法犯罪活動。結合等級保護項目落地實際情況,整體等級保護工作可劃分為定級、備案、安全建設/整改、等級測評、安全自查與監督檢查五個标準動作。