1. 網路安全等級保護制度中等級檢驗定價決定權在誰手裡
等保制度是網路安全從業者開展網路安全工作的重要指導體系和制度。網路安全等級保護制度2.0(以下簡稱「等保2.0」)配合著多項已經生效和/或正在制定的法律法規及國家標准實施,智慧安全港建議各企業重視相關內容的學習,加強信息保護合規系統建設,以便為即將可能開展的執法工作做好准備,本文對等保2.0的重要內容作出了梳理。
為適應新技術的發展,由公安部牽頭組織開展了信息技術新領域等級保護重點標准申報國家標準的工作,等級保護正式進入2.0時代。
一、發布主體
國家市場監督管理總局、國家標准化管理委員會
二、相關標准
《信息安全技術 網路安全等級保護基本要求》、《信息安全技術 網路安全等級保護測評要求》、《信息安全技術網路安全等級保護安全設計技術要求》
三、重要日期
等保2.0相關國家標准於2019年5月10日正式發布。2019年12月1日開始實施。
四、歷史沿革
2017年,《網路安全法》首次提出「網路安全等級保護制度」的概念,並明確相關具體要求。2018年,《網路安全等級保護條例(徵求意見稿)》(以下簡稱「《等級保護條例》」)提出「國家實行網路安全等級保護制度,對網路實施分等級保護、分等級監管」。
五、重點內容
1
《等級保護條例》
關鍵內容:條例適用范圍
在中華人民共和國境內建設、運營、維護、使用網路,開展網路安全等級保護工作以及監督管理,適用《等級保護條例》,個人及家庭自建自用的網路除外。
關鍵內容:網路安全等級保護制度由哪個部門負責/領導?
關鍵內容:網路安全等級分為哪幾級?
關鍵內容:作為網路運營者,(程序上)企業應該怎麼做?
S1【網路定級】:在規劃設計階段確定網路的安全保護等級。當網路功能、服務范圍、服務對象和處理的數據等發生重大變化時,應當依法變更網路的安全保護等級。
S2【定級評審】:對擬定為第二級以上的網路,其運營者應當組織專家評審;有行業主管部門的,應當在評審後報請主管部門核准。跨省或者全國統一聯網運行的網路由行業主管部門統一擬定安全保護等級,統一組織定級評審。行業主管部門可以依據國家標准規范,結合本行業網路特點制定行業網路安全等級保護定級指導意見。
S3【定級備案】:第二級以上網路運營者應當在網路的安全保護等級確定後10個工作日內,到縣級以上公安機關備案。因網路撤銷或變更調整安全保護等級的,應當在10個工作日內向原受理備案公安機關辦理備案撤銷或變更手續。
S4【備案審核】:公安機關應當對網路運營者提交的備案材料進行審核。對定級准確、備案材料符合要求的,應在10個工作日內出具網路安全等級保護備案證明。
S5【上線檢測】:新建的第二級網路上線運行前應當按照網路安全等級保護有關標准規范,對網路的安全性進行測試。新建的第三級以上網路上線運行前應當委託網路安全等級測評機構按照網路安全等級保護有關標准規范進行等級測評,通過等級測評後方可投入運行。
S6【等級測評】:第三級以上網路的運營者應當每年開展一次網路安全等級測評,發現並整改安全風險隱患,並每年將開展網路安全等級測評的工作情況及測評結果向備案的公安機關報告。
S7【安全整改】:網路運營者應當對等級測評中發現的安全風險隱患,制定整改方案,落實整改措施,消除風險隱患。
S8【自查工作】:網路運營者應當每年對本單位落實網路安全等級保護制度情況和網路安全狀況至少開展一次自查,發現安全風險隱患及時整改,並向備案的公安機關報告。
2
《信息安全技術 網路安全等級保護基本要求》
關鍵內容:不同安全保護等級的等級保護對象應具備的基本安全保護能力
關鍵內容:安全要求的分類
3
《信息安全技術 網路安全等級保護測評要求》
關鍵內容:測評方法
4
《信息安全技術網路安全等級保護安全設計技術要求》
關鍵內容:不同等級的系統安全保護環境設計目標
六、等保2.0的實施對企業有哪些影響?
根據誰主管誰負責、誰運營誰負責、誰使用誰負責的原則,網路運營者成為等級保護的責任主體,如何快速高效地通過等級保護測評成為企業開展業務前必須思考的問題。
一級系統簡單,不需要備案,影響程度很小,因此不作為重點監管對象;二級系統大概50萬個左右;三級系統大概5萬個;四級系統量級較大,比如支付寶、銀行總行系統、國家電網系統,有1000個左右;五級系統屬國家級、國防類的系統,比如核電站、軍用通信系統。
七、網路安全等級保護常見注意事項
1、等級測評並非安全認證
很多人容易把等保測評等同於安全認證。等保測評並非相當於ISO20000系列的信息技術服務管理認證,也並非於ISO27000系列的信息安全管理體系認證。等級保護制度是國家信息安全管理的制度,是國家意志的體現。落實等級保護制度為了國家法律法規的合規需求。
等級保護測評沒有相應的證書,如何才能證明信息系統已經符合等級保護安全要求了呢?目前這主要是由公安部授權委託的全國一百多家測評機構,對信息系統進行安全測評,測評通過後出具《等級保護測評報告》,拿到了符合等保安全要求的測評報告就證明該信息系統符合了等級保護的安全要求。
2、等保制度只是基本要求
等保制度只是基線的要求,通過測評、整改,落實等級保護制度,確實可以規避大部分的安全風險。但就目前的測評結果來看,幾乎沒有任何一個被測系統能全部滿足等保要求。一般情況下,目前等級保護測評過程中,只要沒發現高危安全風險,都可以通過測評。但是,安全是一個動態而非靜止的過程,而不是通過一次測評,就可以一勞永逸的。 企業通過落實等保安全要求,並嚴格執行各項安全管理的規章制度,基本能做到系統的安全穩定運行。但依然不能百分百保證系統的安全性。
3、內網系統也需要做等級測評
首先,所有非涉密系統都屬於等級保護范疇,和系統在外網還是內網沒有關系;《網路安全法》規定,等級保護的對象是在中華人民共和國境內建設、運營、維護和使用的網路與信息系統。因此,不管是內網還是外網系統,都需要符合等級保護安全的要求。
其次,在內網的系統往往其網路安全技術措施做的並不好,甚至不少系統已經中毒不淺。2017年肆虐全球的永恆之藍勒索病毒攻擊,導致了大量內網系統癱瘓,這提醒我們內網系統的安全防護同樣不能馬虎。所以不論系統在內網還是外網都得及時開展等保工作。
4、系統上雲或者託管在其他地方就也需做等級測評
目前,比較多的小型企業客戶偏向於把系統部署在雲平台與IDC機房。這些雲平台、IDC機房一般都通過了等級測評。不過,根據「誰運營誰負責,誰使用誰負責,誰主管誰負責」的原則,系統責任主體仍然還是屬於網路運營者自己,所以,還是得承擔相應的網路安全責任,該進行系統定級的還是得定級,該做等保的還是得做等保。
部署在雲平台的系統還需要購買雲平台的安全服務或者第三方安全服務,部署在IDC機房的系統還需要購買相應的安全設備以滿足等保安全要求。
5、不可根據自己的主觀意願來定級
目前的等級保護對象(信息系統)的安全級別分為五個等級,如果定了1級,不需要做等級測評,自主進行保護即可。定2級以上就需要進行等級測評。系統級別的確定需要根據系統的重要性進行決定。如果定高了,有可能造成投資的浪費;定低了則有可能造成重要信息系統得不到應有的保護,應該謹慎定級。
等保1.0的要求是自主定級,有主管部門的需要主管部門審核,最終報送公安機關進行審核。等保2.0之後定級流程新增了「專家評審」和「主管部門審核」兩個環節,這樣定級過程將會變得更加規范,定級也會更加准確。
6、系統備案場所
《信息安全等級保護管理辦法》規定,等級保護的主體單位為信息系統的運營、使用單位。備案主體一般不會是開發商、系統集成商,而是最終的用戶方。
目前有些單位的注冊地跟運營地不一致,正常情況下需要去運營地區的網安部門辦理備案手續。比如客戶注冊地在北京海淀區,運營部門在北京朝陽區,需要到北京朝陽區辦理定級備案手續,當然,前提是北京朝陽區必須有正規辦公地址。
有些單位的系統部署在雲平台,雲平台的實際物理地址往往和雲系統網路運營者不在同一地址。而且,有些單位的運維團隊和注冊經營地址也不一致。這種情況下,雲系統應當在系統實際運維團隊所在地市網安部門進行系統備案,因為這樣會方便屬地公安對系統進行監管。
所以,大部分情況下,還是需要到系統的運維人員實際所在地進行定級備案
2. 網路信息安全綜合保險
以下解答摘自谷安天下咨詢顧問發表的相關文章!
一、信息安全管理體系已解決的保險公司信息安全問題
保險行業通過信息安全技術的實施,信息安全管理制度的實施,解決了大量具有普遍性的信息安全問題,並形成了行業在信息安全管理方面的特色和管理優勢。概要如下:
建立了比較詳盡的在安全策略,並且總公司的各項IT制度會直接下放到各級分支機構。
在安全組織方面,結合保監會建立「網路安全工作小組」的要求,成立的信息安全組織,由公司的主要領導擔任組長及副組長,組員由主要業務部門、人力資源部門、稽核部門及信息技術部門等部門組成。
在物理環境方面,機房建設按國家A類機房標准建設,符合國家的有關標准;機房實現授權出入管理,出入計算機機房有嚴格的審批程序和出入記錄,物理環境的防火、防水、空調、電力等基本達到安全要求。
建立了較合理的總公司與分支機構的網路基礎架構,網路核心交換機與路由器雙機容錯;公司重要的廣域網接入專用線路都有冗餘。
對網站採用了網頁防篡改技術並定期進行檢查,員工訪問互聯網進行了分級限制,外來人員訪問互聯網有專用網段。
對員工PC集中防病毒管理、集中補丁管理,定期對重要主機與網路設備進行安全檢查。
在計算機信息系統開發、管理與應用上有相對比較清晰和明確的職責分工的要求,在核心業務系統的設計、開發、測試環境基本能做到主機環境的分離,軟體源代碼通過版本控制器集中進行管理。
重要業務系統和數據均有良好的備份措施,特別是進行了數據異地存放等工作。
IT人員責任心強,工作勤勉,在超負荷的工作狀態下能基本維持系統正常運行。
二、信息安全管理體系正在解決的保險公司信息安全問題
當前保險行業信息安全現狀還有許多待改進與提高的地方,與國際標准和最佳信息安全實踐相比,還存在著一定的差距,特別是分支機構在資產管理、物理與環境安全、人力資源管理、通信與操作管理、訪問控制、軟體開發等方面還需付出較大的努力。
以下對信息安全管理體系正在解決的保險行業信息安全方面的主要表現在以下幾個方面:
信息安全投入
IT規劃
資產管理
人力資源安全
物理與環境安全
通信與操作管理
訪問控制
信息系統獲得、開發與維護
信息安全事件管理
擴展閱讀:【保險】怎麼買,哪個好,手把手教你避開保險的這些"坑"