《网络安全法》出台后,网络等级保护进入2.0时代。网络等级保护的定级将越来越趋于规范性管理,而不是自主保护。网络安全等级保护成为网络运营者最重要的义务之一。
“第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密等措施;
(五)法律、行政法规规定的其他义务。
信息安全等级保护制度是国家信息安全保障工作的基础,也是一项事关国家安全、社会稳定的政治任务。通过开展等级保护工作,发现企业网络和信息系统与国家安全标准之间存在的差距,找到目前系统存在的安全隐患和不足,通过安全整改,提高信息系统的信息安全防护能力,降低系统被各种攻击的风险。
根据系统保护等级和各地政策不同,等级保护实施的流程和顺序略有区别,但基本都包括:系统定级、整改建设、等级评测、系统备案和监督检查等五项工作。三级系统的标准实施流程如下:
5个步骤——定级、备案、建设、测评、检查
2个证——备案证明、测评报告
1次性通过
服务项目具体内容
信息系统定级备案:确定定级对象、业务信息安全等级分析、系统服务安全等级分析、定级对象安全等级判定。
依据《定级指南》,对信息系统基本情况进行调研,并对业务信息进行分析,判别信息系统受到破坏时所侵害的客体和对客体造成侵害的程度,确定信息系统安全保护等级。并提供《信息系统等级保护定级报告》、《信息系统等级保护备案表》。
差距性分析:差距分析方案设计、安全技术差距分析测评、安全管理差距分析测评、差距分析报告编制。
依据信息系统定级情况,对信息系统的各项安全指标进行符合性评估,标识信息系统的不符合项,明确信息系统与等级保护第三级系统基本要求之间的差距。并提供《信息系统等级保护差距分析报告》。
整改方案:技术体系整改分析、管理体系整改分析、整改方案编制。
根据信息系统的差距分析报告结果或信息系统存在的风险点,对信息系统技术和管理两个方面进行等级保护整改方案设计,为信息系统的加固实施提供依据。并提供《信息系统等级保护整改方案》。
信息系统等级测评:测评方案编制、安全技术测评、安全管理测评、漏洞扫描、测评结论分析、测评报告编制。
依据《基本要求》,按照相应管理规范和技术标准,从安全技术和安全管理两个方面对信息系统的安全等级保护状况进行检测、评估,分析和评估其潜在得威胁、薄弱环节以及现有安全防护措施,综合考虑信息系统的重要性和面临的安全威胁等因素,提出相应的整改建议,以确保信息系统的安全保护措施符合安全等级保护第三级系统的基本安全要求。并提供《信息系统等级保护测评报告》。
(点击可查看大图)
一站式服务:从选择符合公安部要求的专业评测机构,到根据评测报告进行安全改造,直至确保评估通过最终获取测评报告,博伟全程为企业提供咨询与方案规划整改服务。
显著降低合规成本:博伟集成了超大规模公有云,根据企业整改需要,按需选择合适的云基础环境与安全产品,并为企业较大化争取折扣,极大节省合规成本。
专业架构师团队:博伟拥有一支具备一线公有云厂商认证的资质团队,他们熟悉各类云产品,在安全技术体系建立上具备丰富的实战经验。这包括使用安全产品,加固系统配置和开发安全控制,可快速满足合规要求。
《网络安全法》出台后各地执法案例不断涌现,其中不乏有关网络安全等级保护义务的案例:
安徽省蚌埠怀远县教育进修学校,未进行网络安全等级保护的定级备案、等级评测工作;未落实网络安全等级保护制度;未履行网络安全等级保护义务;机构被处以1.5万元罚款,负有直接责任人员处以5000元罚款。
四川宜宾市“教师发展平台”网站,未落实网络安全等级保护制度;未履行网络安全等级保护义务;导致网站存在高危漏洞,造成网站发生被黑客攻击入侵的网络安全事件。机构被处以1万元罚款,负有直接责任人员处以5000元罚款。
点这里,你的安全感伟哥承包了!