進入等級保護2.0時代,根據信息技術發展應用和網絡安全態勢,不斷豐富了制度內涵、拓展保護範圍、完善監管措施,逐步健全網絡安全等級保護制度政策、標準和支撐體系。密碼作爲保障網絡和信息安全的核心技術和基礎支撐,關係到國家安全、國計民生和社會公共利益。隨着互聯網的進一步發展,商密技術應用的普及,加強相關安全標準認真體系的建設和管理是重中之重。這其中就涉及到等保測評、密碼測評、關基保護、密碼技術標準、定級備案等有關政策條例的問題,還有等保與密碼、測評和密評之間的關係,如何進行各項測評,找哪些機構,執行後果等各類相關問題,接下來我們就用3個篇幅,集合48個問題,一次系統解決大家可能最關心的點,準備好小板凳了嗎?重點都給你劃分好咯!
(下)
28.如何確定業務系統屬於等保幾級?
答:可參照等級保護定級指南,從業務系統安全和系統服務安全兩個方面評價當業務系統被破壞時對客體的影響程度,取兩個方面較高的等級。當確定系統級別後,應開展專家評審對系統定級合理性進行審覈。如有行業主管部門制訂的定級依據,可直接參照採納行業定級標準定級。
29.買/用哪些安全產品能過等保?
答:可根據實際情況,如考慮等保測評結果分數與等級、業務系統風險與防護要求等綜合考慮安全通信網絡防護、安全區域邊界防護、安全計算環境防護、安全管理中心、安全建設與運維等投入。建議諮詢專業的安全諮詢服務機構定製解決方案。
30.現在還沒做等保還來得及嗎?有什麼影響?
答:來得及。種一棵樹,最好的時間是十年前,其次是現在。可先根據定級備案要求和流程,先向公安遞交定級備案文件,測評與整改預算提上日程,在經費未落實前,可以先進行系統定級、差距分析、整改計劃制訂等工作。
31.業務系統在雲上,安全是雲平臺負責的吧?
答:根據《信息安全技術 網絡安全等級保護基本要求》(GB/T 22239-2019)附錄D,雲服務商根據提供的IaaS、PaaS、SaaS模式承擔不同的平臺安全責任。業務系統上雲後,雲租戶與雲平臺服務商之間應遵循責任分擔矩陣共同承擔相應的安全責任。也就是說雲平臺承擔的是雲平臺的安全責任,部署在雲平臺上的系統或數據所有者,應對該系統或數據承擔網絡安全保護責任。
32.做完等級保護測評後整改週期是多久?
答:雖無明確規定,但測評報告一般是整改達標後纔出具,除非可以接受結論爲“差”的報告或不在乎分數。另外,等保工作本身就是爲了提升網絡安全防護水平,尤其是測評中發現的高風險建議立刻克服困難,抓緊整改。不少單位就是因爲“高風險”問題沒及時整改而中招,導致單位承受了巨大的經濟和聲譽損失。
33.等級保護有哪些規範標準?
答:等級保護涉及面廣,相關的安全標準、規範、指南還有很多正在編制或修訂中。常用的規範標準包括但不限於如下幾個:
GB 17859-1999 計算機信息系統安全保護劃分準則
GB/T 31167-2014 信息安全技術 雲計算服務安全指南
GB/T 31168-2014 信息安全技術 雲計算服務安全能力要求
GB/T 36326-2018 信息技術 雲計算雲服務運營通用要求
GB/T 25058-2019 信息安全技術 網絡安全等級保護實施指南
GB/T 25070-2019 信息安全技術 網絡安全等級保護安全設計技術要求
GB/T 28448-2019 信息安全技術 網絡安全等級保護測評要求
GB/T 28449-2018 信息安全技術 網絡安全等級保護測評過程指
GB/T 22239-2019 信息安全技術 網絡安全等級保護基本要求
GB/T 22240-2020 信息安全技術 網絡安全安全等級保護定級指南
GB/T 36958-2018 信息安全技術 網絡安全等級保護安全管理中心技術要求
GM/T 0054-2018 信息系統密碼應用基本要求GB/T 35273-2020 信息安全技術 個人信息安全規範
34.等級保護步驟或流程是什麼樣的?
答:根據信息系統等級保護相關標準,等級保護工作總共分五個階段,分別爲:系統定級、系統備案、安全建設/整改、等級測評、主管/監管單位定期開展監督檢查。
35.有哪些情況系統定級無需專家評審?
答:信息系統運營使用單位有上級主管部門,且對信息系統的安全保護等級有定級指導意見或審覈批准的,可無需在進行等級專家評審。主管部門一般指行業的上級主管部門或監管部門。如果是跨地域聯網運營使用的信息系統,則必須由上級主管部門審批,確保同類系統或分支系統在各地域分別定級的一致性。具體要求建議諮詢屬地網安
36.業務系統在內/專網,還需要做等保嗎?
答:需要。內網與專網的非涉密系統都屬於等級保護範疇,雖然內/專網相對於互聯網,業務系統的用戶比較明確或可控,但內網不代表安全。
37.等級保護測評結論不符合是不是等級保護工作就白做了?
答:不是。等級保護測評結論爲“差”,表示目前該信息系統存在高危風險或整體安全性較差,沒有達到相應標準要求。但是這並不代表等級保護工作白做了,即使你拿着不符合的測評報告,主管單位也是承認你們單位今年的等級保護工作已經開展過了,只是目前的問題較多,沒達到相應的標準,需要抓緊整改。
38.拿什麼證明開展過等級保護工作?
答:一般情況是備案證明和測評報告,測評報告應加蓋測評機構公章和測評專用章。
39.系統在雲上,還要做等保嗎?
答:要做。業務上雲有多種情況,如在公有云、私有云、專有云等不同屬性的雲上,並採用IaaS、PaaS、SaaS、IDC託管等不同服務,雖然安全責任邊界發生了變化,但網絡運營者的安全責任不會轉移。根據“誰運營誰負責、誰使用誰負責、誰主管誰負責”的原則,應承擔網絡安全責任進行等級保護工作。是否要通過測評這個需根據系統的重要程度,依據國家標準和相關部門要求來確定。
40.等保的測評內容有哪些?
答:通用要求包含:技術要求(安全物理環境、安全通信網絡、安全區域邊界、安全計算環境、安全管理中心);管理要求(安全管理制度、安全管理機構、安全人員管理、安全建設管理、安全運維管理);雲計算、物聯網、移動互聯、工控、大數據擴展標準以及行業標準。
41.“商密”測評的具體流程是什麼?
答:商用密碼應用安全評估的工作流程大致包括確定評估對象、開展測評工作、輸出密碼測評報告、密評結果上報四個階段。
42.“等保”與“商密”的評估對象有什麼區別?
答:等級保護對象基本覆蓋了全部的網絡和信息系統,第三級以上的網絡安全等級保護對象(部分)同時爲關基和密評的評估對象;商密對象含關鍵基礎設施、第三級等級保護對象和部分重要的信息系統。
43.“等保”與“商密”的評估週期有什麼區別?
答:等級測評、商密在實際開展過程中應銜接進行,第三級以上的等級保護對象、商用密碼應用安全的評估週期均爲每年至少一次。
44.“等保”與“商密”的評估結果有什麼區別?
答:網絡安全等級保護評估結論爲優、良、中、差;商密的測評結論有符合、部分符合、不符合;等級測評和商密都引入了風險分析,依據資產、威脅、脆弱性進行賦值,並計算風險值進行判定,風險結論有高、中、低;關鍵信息基礎設施保護基於風險評估的方法,重在分析安全風險可能引起的安全事件及總體安全狀況。當網絡和信息系統存在高風險時,等級測評和商密的結論均爲不符合(差)。
45.“等保”和“網絡安全法”什麼關係?
答:等級保護工作是國家網絡安全的基礎性工作,是“網絡安全法”要求我們履行的一項安全責任。“網絡安全法”是網絡安全領域的基本法,從國家層面對等級保護工作的法律認可,網絡安全法中明確的提到信息安全的建設要遵照等級保護標準來建設。
46.哪些企業和單位應該開展等保工作?
答:根據 GB/T 22239-2019的相關規定:劃重點:(1)中國境內運營的;(2)政府、事業單位、對外提供服務的企業;(3)除信息系統外,還包括:基礎網絡、雲平臺、大數據、物聯網、工控系統和移動互聯。也就是說,基本涵蓋了企業的對外提供服務的業務系統和產品。
47.購買了符合等保要求的安全設備就能有效抵禦網絡風險?
答:設備只是工具,是否能抵禦風險,還有看怎麼用!不少單位花錢買了安全設備,但缺乏技術人員支持,或者安全意識淡薄,安全產品不僅起不到安全作用,反而會影響業務連續性。
48.做完等級測評就沒有安全問題了?
答:很多人認爲,完成等保測評就萬事大吉了。其實,不然。等保測評標準只是基線的要求,通過測評、整改,落實等級保護制度,確實可以規避大部分的安全風險。但是,安全是一個動態而非靜止的過程,不是通過一次測評,就可以一勞永逸的。 企業通過落實等保安全要求,並嚴格執行各項安全管理的規章制度,基本能做到系統的安全穩定運行。但依然不能百分百保證系統的安全性。因此,要通過等級保護測評工作開展,以“一箇中心、三重防護”好“三化六防”等爲指導,不斷提升網絡攻防能力。