網絡安全等級保護2.0時代,落實等級保護制度的五個規定基本動作仍然是:定級、備案、建設整改、等級測評、監督檢查。
本文全面介紹網絡安全等級保護工作流程。
網絡安全等級保護基本概述
網絡安全等級保護是指對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的網絡資源及功能組件分等級實行安全保護,對網絡中使用的安全技術和管理制度實行按等級管理,對網絡中發生的信息安全事件分等級響應、處置。
為開展網絡安全等級保護工作,國家制定了一系列等級保護相關標準,其中主要的標準有:
計算機信息系統安全保護等級劃分準則(GB17859-1999)
信息安全技術網絡安全等級保護定級指南(GB/T22240-2020)
信息安全技術網絡安全等級保護實施指南(GB/T25058-2019)
信息安全技術網絡安全等級保護基本要求(GB/T22239-2019)
信息安全技術網絡安全等級保護設計技術要求(GB/T25070-2019)
信息安全技術網絡安全等級保護測評要求(GB/T28448-2019)
信息安全技術網絡安全等級保護測評過程指南(GB/T28449-2018)
開展網絡安全等級保護工作的原因
開展網絡安全等級保護的原因大致可以概括為下列三點:
合規要求:落實網絡安全等級保護制度,滿足國家法律法規要求。
網絡安全法第二十一條規定國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求,履行下列安全保護義務,保障網絡免受干擾、破壞或者未經授權的訪問,防止網絡數據泄露或者被竊取、篡改。
網絡安全法第三十一條規定國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施,在網絡安全等級保護制度的基礎上,實行重點保護。
網絡安全等級保護基本對各行業進行全覆蓋,主要行業有:政府機關、金融行業、衛生醫療、教育行業、運營商、能源電力、企業單位及其他行業等。
安全需求:基于等級保護構建安全防護體系,推動安全保障建設,合理規避風險。
網絡安全等級保護是信息系統安全領域實施的基本國策,是是國家信息安全保障工作的基本制度、基本方法。
網絡運營者依據國家網絡安全等級保護政策和標準,開展組織管理、機制建設、安全規劃、安全監測、通報預警、應急處置、態勢感知、能力建設、監督檢查、技術檢測、安全可控、隊伍建設、教育培訓和經費保障等工作,構建集安全管理體系、安全技術體系、網絡信任體系、風險管理體系等多方位的網絡安全綜合防御體系。
推動安全產業發展
等級保護有效的支撐了網絡安全法,作為網絡安全法的抓手,有效推動了可信計算、全網安全態勢感知等新型安全技術的使用,促進“云大物移工”等新應用新技術的安全落地,提升了面對高級持續性威脅與勒索病毒的安全防護能力。
開展網絡安全等級保護工作的流程
等保2.0時代,開展網絡安全等級保護工作的的五個規定基本動作:定級、備案、建設整改、等級測評、監督檢查。
定級階段:
網絡運營者依據《GB/T22240-2020信息安全技術網絡安全等級保護定級指南》,確定等級保護對象,明確定級對象,梳理等級保護對象受到破壞時所侵害的客體及對客體造成侵害的程度。根據下列矩陣表分別確定等級保護對象業務信息等級和系統服務等級:
在分別確定業務信息安全的安全等級和系統服務的安全等級后,由二者中較高級別確定等級保護對象的安全級別,如:
業務信息安全:第二級,系統服務:第三級,最終等級保護級別為:第三級;
業務信息安全:第四級,系統服務:第三級,最終等級保護級別為:第四級;
業務信息安全:第三級,系統服務:第三級,最終等級保護級別為:第三級。
具體的定級流程如下:
備案階段:
第二級以上網絡運營者在定級、撤銷或變更調整網絡安全保護等級時,在明確安全保護等級后需在10個工作日內,到縣級以上公安機關備案,提交相關材料。
備案所需材料(下列材料為浙江寧波公安官網發布的所需材料及流程,供參考,不同地市可能存在差異,以當地公安機關要求為準)
公安機關應當對網絡運營者提交的備案材料進行審核。具體流程大致如下:
對定級準確、備案材料符合要求的,應在10個工作日內出具網絡安全等級保護備案證明。
建設整改階段:
安全建設整改工作分五步進行:
落實安全建設整改工作部門,建設整改工作規劃,進行總體部署;
確定網絡安全建設需求并論證;
確定安全防護策略,制定網絡安全建設整改方案(安全建設方案經專家評審論證,三級以上報公安機關審核);
根據網絡安全建設整改方案,實施安全建設工程;
開展安全自查和等級測評,及時發現安全風險及安全問題,進一步開展整改。
等級測評階段:
?網絡安全等級保護測評過程分為4個基本活動:測評準備活動、方案編制活動、現場測評活動、分析及報告編制活動。
監督檢查階段:
公安機關對第三級以上網絡運營者每年至少開展一次安全檢查,涉及相關行業的可以會同其行業主管部門開展安全檢查。必要時,公安機關可以委托社會力量提供技術支持。
縣級以上公安機關對網絡運營者開展下列網絡安全工作情況進行監督檢查:
(一)日常網絡安全防范工作;
(二)重大網絡安全風險隱患整改情況;
(三)重大網絡安全事件應急處置和恢復工作;
(四)重大活動網絡安全保護工作落實情況;
(五)其他網絡安全保護工作情況。
