关于网络安全等级保护制度与关键信息基础设施保护的关系,e安在线公众号之前的文章有详细说明,今天通过一个真实的案例来复盘。
案例
2015年,国家两个重要部门联合开发运行了一个网站,支撑在互联网上开展某项业务工作,但网站没有定级,也没有按照国家标准制定安全建设方案,缺少基本的安全技术措施和管理措施,从网上收集重要敏感信息并明文存储,致使网站上线后被有关部门在安全检测中攻入网站后台,获取大量重要数据。该网站被及时关闭、下线,开展整改。在有关部门指导下,重新开展网站定级,制定网站安全建设方案,排除了从网站直接收集用户信息的做法,经等级测评、风险评估合格后,网站重新上线,确保了网站运行安全和数据安全。
这个案例说明,某些重要单位缺乏网络安全意识,对国家网络安全等级保护制度缺乏了解掌握,没有开展定级、备案、等级测评、安全建设等等级保护工作,更没有落实“三同步”要求。
正确理解网络安全等级保护制度与关键信息基础设施保护的关系
1.等级保护制度是普适性的制度,是关键信息基础设施保护的基础,关键信息基础设施是等级保护制度的保护重点。
2.等级保护制度和关键信息基础设施保护是网络安全的两个重要方面,不可分割。关键信息基础设施必须按照网络安全等级保护制度要求,开展定级备案、等级测评、安全建设整改、安全检查等强制性、规定性工作。
3.网络运营者应当在第三级(含)以上网络中确定关键信息基础设施。
4.关键信息基础设施保护,要落实公安机关、保密部门、密码部门的保卫、保护、监管责任,落实网络运营者和行业主管部门的主体责任。
5.公安机关在情报侦察、追踪溯源、快速处置、打击犯罪、等级保护、通报预警、互联网管理等方面,发挥职能作用,发挥主力军作用,保卫关键信息基础设施安全。
总之,实施网络安全等级保护制度的根本目的就是保护国家关键信息基础设施。
接下来再梳理一下“三同步”原则:
1. 同步规划
关键信息基础设施运营者应:
a)同步分析安全需求,即在关键信息基础设施建设或改建之初,从本组织的职能或业务的角度分析对关键信息基础设施实施网络安全的需求,形成安全需求说明书。
b)同步定义安全要求,即基于网络安全需求说明书,定义关键信息基础设施的网络安全要求,形成网络安全功能和性能说明书。
c)确保安全需求说明书得到网络安全责任部门签字认可。
2. 同步建设
关键信息基础设施运营者应:
a)同步设计安全体系结构,即基于已经定义的关键信息基础设施的网络安全要求,设计网络安全体系结构,明确系统内的各类信息安全组件,说明各组件提供的信息安全服务及可能的实现机制。
b)同步开展详细的安全设计,即根据安全保护等级选择基本安全措施,细化安全机制在关键信息基础设施中的具体实现。
c)在建设或改建过程中,按照GB/T 22239工程实施相应等级的要求,同步建设符合其等级要求的网络安全设施,包括自行软件开发。
d)建设完成后,组织对关键信息基础设施进行验收并将网络安全作为验收的重要内容。
3. 同步使用
关键信息基础设施运营者应:
a)同步运行安全设施,确保安全设施保持启用状态。
b)按照GB/T 22239安全运维管理相应等级的要求进行安全运维。
c)关键信息基础设施及其运行环境发生明显变化时,评估其风险,及时升级安全设施并实施变更管理。
d)对安全设施同步实施配置管理,包括制定配置管理计划,制定、记录、维护基线配置,保留基线配置的历史版本,便于必要时恢复历史配置。
新一期的CIIP-A等保考试时间为8月23日,为了让大家更好地学习、考试,也为了答谢各位粉丝对e安在线公众号的关注,小编我一言不合就送书。(具体福利内容请关注e安在线公众号)