文丨网络安全等级保护制度是如何提高网络安全的?
2022-05-27 13:57:00 来源:本站 浏览:686

一、网络安全等级保护制度是国家网络安全的基本制度、基本国策

1、信息安全等级保护是基本制度、基本国策(等级保护1.0)

信息安全等级保护是党中央国务院决定在信息安全领域实施的基本国策,由公安部牵头经过近十年的探索和实践,信息安全等级保护的政策、标准体系已经基本形成,已在全国范围内全面开展实施。信息安全等级保护制度是国家信息安全保障工作的基本制度,是落实网络信任体系、安全监控体系、应急处理、风险评估、灾难备份、技术开发和产业发展等信息安全保障工作的基础。开展信息安全等级保护工作是实现国家对重要信息系统重点保护的重大措施。信息安全等级保护制度的核心内容是,国家制定统一的政策,各单位、各部门依法开展等级保护工作,有关职能部门对信息安全等级保护工作实施监督管理。

2、网络安全等级保护是基本制度、基本国策(等级保护2.0)

(1)网络安全等级保护是党中央、国务院决定在网络安全领域实施的基本国策。由公安部牵头,经过十多年的探索和实践,网络安全等级保护的政策、标准体系已经基本形成,并已在全国范围内全面实施。

(2)网络安全等级保护制度是国家网络安全工作的基本制度,是实现国家对重要网络、信息系统、数据资源实施重点保护的重大措施,是维护国家关键信息基础设施的重要手段。网络安全等级保护制度的核心内容是:国家制定统一的政策、标准;各单位、各部门依法开展等级保护工作;有关职能部门对网络安全等级保护工作实施监督管理。

(3)《网络安全法》规定国家实行网络安全等级保护制度,标志着从1994年的国务院条例(国务院令第147号)上升到国家法律;标志着国家实施十余年的信息安全等级保护制度进入2.0阶段;标志着以保护国家关键信息基础设施安全为重点的网络安全等级保护制度依法全面实施。

(4)网络安全等级保护制度是新时期国家网络安全的基本制度、基本国策,我们将构建网络安全等级保护新的法律和政策体系、新的标准体系、新的技术支撑体系、新的人才队伍体系、新的教育训练体系和新的保障体系。

3、网络安全等级保护制度(等级保护2.0)核心内容

一是将风险评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处置、自主可控、供应链安全、效果评价、综治考核等重点措施全部纳入等级保护制度并实施;

二是将网络基础设施、信息系统、网站、数据资源、云计算、物联网、移动互联网、工控系统、公众服务平台、智能设备等全部纳入等级保护和安全监管;

三是将互联网企业的网络、系统、大数据等纳入等级保护管理,保护互联网企业健康发展。

二、网络安全等级保护是网络安全工作的基本方法

等级保护工作是开展网络安全保障工作的最重要抓手,也是网络安全保障工作的重要内容。

1、信息安全等级保护是信息安全保障工作的基本方法(等级保护1.0)

信息安全等级保护是国家信息安全保障工作的基本方法。等级保护制度提出了一整套安全要求,贯穿系统设计、开发、实现、运维、废弃等系统工程的整个生命周期,引入了测评技术、风险评估、灾难备份、应急处置等技术。按照等级保护制度中规定的五个动作“定级、备案、建设、测评、检查”,各单位各部门开展信息安全工作,先对所属信息系统(包括信息网络)开展调查摸底、梳理信息系统,再对信息系统定级,定级后二级以上系统到公安机关备案,然后按标准进行安全建设整改,开展等级测评。公安机关按照系统级别实施不同强度的监管,对进入重要信息系统的测评机构以及信息安全产品分等级进行管理,对信息安全事件分等级响应和处置。经过一系列工作的开展,将信息安全保障工作落到了实处。

2、网络安全等级保护是网络安全工作的基本方法(等级保护2.0)

网络安全等级保护是国家网络安全工作的基本方法。网络安全等级保护工作的目标就是维护国家关键信息基础设施安全,维护重要网络设施、重要信息系统、重要数据的安全。等级保护制度提出了一整套安全要求,贯穿网络和信息系统的设计、开发、实现、运维、废弃等系统工程的整个生命周期,引入了测评技术、风险评估、灾难备份、应急处置等技术。按照等级保护制度中规定的“定级、备案、建设、测评、检查”这五个规定动作,各单位、各部门开展网络安全工作,先对所属网络、信息系统和数据开展调查摸底,再对网络进行定级。定级后,第二级以上网络要到公安机关备案,然后按标准进行安全建设整改,开展等级测评。公安机关对网络安全工作开展监督管理,按照不同的网络级别实施不同强度的监管,对进入重要信息系统的测评机构及信息安全产品分等级进行管理,对网络安全事件分等级响应和处置。通过开展一系列重点工作,采取一系列重要的安全管理和技术措施,将网络安全工作落到实处。

三、总结

1、等级保护制度提出了一整套安全要求,贯穿网络和信息系统的设计、开发、实现、运维、废弃等系统工程的整个生命周期,引入了测评技术、风险评估、灾难备份、应急处置等技术。

2、等级保护制度所提出的一整套安全要求是贯穿了一个网络和信息系统整个生命周期每一个阶段。正因为等级保护制度有一整套安全要求,所以在等级保护工作开展中,无论是哪一个环节,都要明白“汝果欲学诗,功夫在诗外”这个道理,因为每个环节工作在开展中看似孤立,其实是彼此相辅相成紧密联系的,如系统设计阶段你不考虑等级保护相关国家标准的要求,那么在测评阶段你就很难满足等级保护测评国家标准的要求,进而影响客户在等级保护中的结论或结果,同时为用户带来安全合规性和网络安全双重风险。同样,在测评环节不理解设计环节通过何种手段实现相关要求,测评的客观公正性也必然大打折扣。

3、网络运营者需要充分理解等级保护的“五个规定动作”,力求做到“三同步”(同步规划、同步建设、同步运行)。其中定级、备案、建设是网络运营者的责任,在这个三个环节中可以寻求测评机构以及具有提供相关咨询服务能力的安全企业的服务,以期在定级、备案、建设等环节能够同步满足并落实等级保护相关国家标准。在测评环节,测评机构参与度加大,与网络运营者配合完成等级测评工作,如果前期工作开展非常好,则等级测评阶段工作开展也将非常顺利。检查环节属于公安机关主导的工作,全线贯穿整个等级保护工作。END

甘公网安备 62010002000517号

陇ICP备15001871号-1

联系地址:甘肃省兰州市城关区南滨河东路58号

©版权所有 2011-2020 甘肃安信信息安全技术有限公司

Copyright © 2011-2020 Gansu Anxin information Safe Technology Ltd