自2018年6月公安部《网络安全等级保护条例(征求意见稿)》发布以来,网络安全等级保护陆续有了更有力的政策规则和更细致的法规标准,标志着等保进入了2.0时代。那么,等保2.0新鲜在哪?监管合规有着怎样的标准?等保建设实施如何落地?我们从行业实践角度出发,梳理了2.0时代等保工作思路,旨在助力企业网络安全防护能力和信息安全管理能力的提升,合理规避风险。
「等保是什么?」
等保全称为“网络安全等级保护”,是指对网络和信息系统按照重要性等级分级别保护的一种工作。
2007年6月,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合发布《信息安全等级保护管理办法》(公字【2007】43号文),在全社会范围内(包括国家单位、企业单位、行业等)推行“信息安全等级保护”政策;
2016年11月7日《中华人民共和国网络安全法》通过,第二十一条明确规定:国家实行网络安全等级保护制度。2017年6月1日开始正式实施。
2018年6月27日,《网络安全等级保护条例(征求意见稿)》发布,正式宣告等保进入2.0时代。
「为什么必须要做等保?」
政策合规要求
需要满足等保合规的行业包括政府机关、金融行业、电信运营商、能源行业、企业单位等。作为国家信息安全的基本制度,开展等级保护工作是企业义不容辞的信息安全义务。
什么情况下企业将会处罚:
1.信息系统出现重大安全事故,影响范围无法自控,国家追究领导责任。
2.企业或行业之间出差等级保护工作落实存在差距,领导职责受到影响。
3.国家监管部门定期检查企业等级保护工作落实和进展情况。等级保护工作落实较差企业领导绩效考核奖受到影响。
4.网络安全法五十九条规定网络运营者不履行本法二十一条、二十五条规定的网络安全保护义务的有关部门责令整改、警告拒不整改或导致网络安全等后果的处十万元以上一百万以下罚款,对直接负责的主管人员处五千以上五万以下罚款。
等保实施意义
1.便于发现相关机构、单位、企业的网络和信息系统与国家安全标准之间存在的差距,发现系统安全隐患与不足;
2.通过安全整改,有效提高信息安全保障能力和水平,提高网络安全防护能力,降低系统被攻击的风险。
3.调动国家、法人、其他组织、公民安全防护积极性,有利于明确信息安全责任,加强企业信息安全管理。
「等保2.0有哪些显著变化?」
标准内容变化
基本要求的内容由一个基本要求变更为安全通用要求和安全扩展要求(含云计算、移动互联、物联网、工业控制)。在gb/t 22239 网络安全等级保护基本要求合并为五部分:安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求、工业控制系统安全扩展要求。设计要求(gb/t25070)和测评要求(gb/t28448)也由各自原有的五个分册分别整合成一册。
标准分类变化
由旧标准的10个分类调整为8个分类,分别为
技术部分:物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全;
管理部分:安全策略和管理制度、安全管理机构和人员、安全建设管理、安全运维管理。
「等保2.0工作内容」
信息系统定级
企业单位采用“自主定级原则”,遵循国家或行业定级指南对第二级以上信息系统进行定级和备案。
信息系统差距分析
通过对现有信息系统的安全现状调研和测评,发现现有系统存在的问题,同时参考等级保护的要求,找出信息系统和等级保护的差距,为后期的等级保护安全整改方案设计奠定基础。主要包括:信息系统现状调研、信息系统现状测评、信息系统差距分析报告等。
信息系统整改方案
根据前期信息系统等级差距分析报告,按照等级保护要求对信息系统进行整改设计,整改设计作为信息系统整改实施的指导,指导信息系统安全建设整改,从而满足等级保护要求。
主要包括:应用安全整改、主机安全整改、数据安全整改、网络安全整改、物理安全整改、管理制度整改等
信息系统正式测评
信息系统整改建设完成后,对整个信息系统进行正式的等级测评,验证信息系统是否满足信息系统等级保护要求。
信息系统测评要求:
三级信息系统要求每年进行一次信息安全等级保护测评。
四级信息系统要求每半年进行一次信息安全等级保护测评。
网络安全保护条例新要求三级以上系统每年进行一次等保测评,四级系统测评工作量缩小
新上线信息系统在正式运营之前要求进行一次信息安全等级保护测评。
信息系统在运维阶段出现重大调整,例如信息系统结构、功能等方面出现重大调整,要求进行一次信息安全等级保护测评。
「等保2.0测评具体实施」
信息系统测评工作准备
测评指导书准备
测评小组编写测评指导书,包括:每个等级保护要求指标需要核查哪些内容,使用什么样方法核查等
测评方案编写
依据测评商务合同,编写信息系统测评实施方案,方案需进行内部专家评审、客户签字同意。
测评记录表准备
测评实施工作分工
包括主机测评人员、应用测评人员、管理测评人员、网络测评人员、渗透测试人员等。
信息系统现场测评实施
测评工作现场调研
客户提供系统资料,测评人员依据材料,填写调研表并与客户相关人员确认和完善。
测评调研工作交付
1.主机测评人员负责交付《主机测评调研记录表》和被测评抽查的《主机测评对象清单》
2.网络测评人员负责交付《网络测评调研记录表》和被测评抽查的《网络测评对象清单》,同时现场输出完整的网络结构图,网络结构图要满足报告编写要求。
3.应用测评人员负责交付应用系统说明文档、应用系统定级保护和备案表。
4.管理测评人员负责交付客户提供管理方面的规范、制度、记录等文档,并形成《管理制度清单》
现场测评主要工作内容
主机设备测评核查、网络设备测评核查、管理安全核查、漏洞扫描、渗透测试等,形成相应报告并经双方确认。
信息系统测评报告编写
分工编写完成后,交叉对报告内容进行审查,发现问题统一汇总修改。
测评报告编写包括被测系统基本信息、单项测评分析、测评汇总分析、测评建议、整体测评分析等内容。
整体测评分析方法
整体测评主要包括安全控制点间、层面间和区域间相互作用的安全测评以及系统结构的安全测评等。