等级保护与解读《网络安全法》
2018年6月27日,公安部发布《网络安全等级保护条例(征求意见稿)》,正式宣告等保进入2.0时代。
等保全称为“信息系统安全等级保护”,现改为“网络安全等级保护”,是指对网络和信息系统按照重要性等级分级别保护的一种工作。安全保护等级越高,安全保护能力就越强。
等保筑起了我国网络和信息安全的重要防线。一方面通过开展等保工作,发现相关机构、单位和企业网络和信息系统与国家安全标准之间存在的差距,找到目前系统存在的安全隐患和不足;另一方面,通过安全整改,提高网络安全防护能力,降低系统被各种攻击的风险。
等保1.0和2.0区别是什么
首先,2.0纳入了《中华人民共和国网络安全法》规定的重要事项;
其次,1.0只针对网络和信息系统,2.0则把云计算、大数据、物联网等新业态也纳入了监管
最后,2.0把监管对象从体制内拓展到了全社会。
等保 分为5级
一级 自主保护 (个人) 依据国家有关管理规范和技术标准进行保护
二级 指导保护(公司常用) 依据国家有关管理规范和技术标准进行保护。要求备案,并接受国家信息安全监管部门的指导
三级 监督保护(常用) 依据国家有关管理规范和技术标准进行保护。要求备案(可以进行专家评审)、测评(每年一次),并接受国家信息安全监管部门的监督、检查
四级 强制保护 依据国家有关管理规范、技术标准和业务专门需求进行保护。必须进行专家评审、备案、测评(每半年一次),并接受国家信息安全监管部门的强制监督、检查
五级 专控保护 依据国家管理规范、技术标准和业务特殊需求进行保护。必须进行专家评审、备案,依据特殊安全需求进行等级测评,并接受国家指定专门部门的专门监督、检查
等级保护相关管理机构与分工
公安机关:是等级保护工作的牵头单位,负责制定政策标准。负责除电子政务和涉密以外信息系统等级保护工作的监督、检查、指导
国家保密工作部门:负责涉及国家秘密信息系统的等级保护工作的监督、检查、指导。负责对泄密事件进行查处。
国家密码管理部门:负责登记保护工作中有关密码工作的监督、检查、指导。负责对密码进行分类分级管理,对密码配备、使用和管理进行检查和测评。
工信部及地方经信部门:负责电子政务等级保护工作的监督、检查、指导。负责等级保护工作中部门间的协调。
几个比较重要的标准
基础标准:
《计算机信息系统安全保护等级划分准则》。在此基础上制定出技术类、管理类、产品类标准。
安全要求:
《信息系统安全等级保护基本要求》
信息系统安全等级保护的行业规范
系统定级:
《信息系统安全等级保护定级指南》
信息系统安全等级保护行业定级细则
方法指导:
《信息系统安全等级保护实施指南》
《信息系统等级保护安全设计技术要求》
现状分析:
《信息系统安全等级保护测评要求》
《信息系统安全等级保护测评过程指南》
为什么做等级保护工作
政策要求:满足国家、行业主管部门(公安、网信办、经信委、通管局等)关于信息安全保障的监管要求,不做等保不好向上级单位,主管部门交代。
法律、法规要求:《中华人民共和国网络安全法》第21条,38条,59条明确了等保的必要性和重要性,网络安全保障不力需要运营单位和个人承担的责任和相应处罚措施。不做等保工作就违法了?!
业务安全保障需求:核心系统遭到破坏,造成系统宕机、核心数据泄露等问题,将会对社会秩序、经济利益和公共利益造成严重损害。通过等保工作发现问题并经过整改后,有效提高系统安全防护能力。等保是国家认可的基本的安全保障措施
基于等级保护生命周期的安全服务
系统定级 ——系统备案——安全建设整改——等级测评——安全自查与监督检查
1,系统定级:定级咨询服务 系统调查 +系统定级 +定级报告
定级流程:摸底调查、确定定级对象——对信息系统进行重要性分析——确定信息系统安全保护等级——组织专家评审、主管部门审批、公安机关审核
2.系统备案:定级咨询服务 专家评审+协助备案
二级系统备材料:《信息系统安全等级保护备案表》
三级系统备材料:系统拓扑结构及说明 系统安全保护设施设计实施方案或者改建实施方案 测评后符合系统安全保护等级的技术检测评估报告 主管部门审核批准信息系统安全保护等级的意见
四级系统备材料:系统安全组织机构和管理制度 系统使用的信息安全产品清单及其认证、销售许可证明 信息系统安全保护等级专家评审意见
网络安全法解读
《中华人民共和国网络安全法》
2017年6月1日执行
第21条:国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
解读:21条是等级保护工作的鲜明旗帜,是从国家层面对等级保护工作的法律认可,是网络安全法关于等级保护工作最重要的一条,简单来说,单位不做等级保护工作就是违法。
第38条:关键信息基础设施运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施保送相关负责关键信息基础设施安全保护工作的部门。
解读:明确了关键信息基础设施单位需要每年对其网络的安全性和可能存在的风险至少进行一次检测评估,等保评估就是对单位重要信息系统做的安全检测评估,做了等保评估就满足38条的要求了。
第59条:网络运营者不履行本法第21条、第25条规定的网络安全保护义务的,关键基础设施运营者不履行本法第33条、第34条、第36条、第38条规定的网络安全保护义务的,由有关主管部门责任改正,给予警告;拒不改正或者导致危害网络安全等后果的,处10万以上100万以下罚款,对直接负责的主管人员处1万元以上10万以下罚款。
解读:用户单位不重视等级保护,且不做等级保护工作的,单位需要被罚款1万-100万;主管责任人员需要被罚款5000-10万元。