网络安全保护等级(等保测评等级)
《网络安全法》第二十一条规定
“国家实行网络安全等级保护制度。”
将网络安全等级保护制度上升为网络安全的一项基本国策。
但是很多人对网络安全等级保护(以下简称“等保”)制度还是比较陌生,所以,今天e小安就来谈谈几个网络安全等级保护工作的情况。
网络安全等级保护制度的发展历程
网络安全等级保护制度是2003年公安部开始探索和实践计算机保护的一项工作,叫信息安全等级保护工作。2007年,在实践基础上公安部会同国家保密局、国家密码管理局、国务院信息化工作办公室等四部委发布了《信息安全等级保护管理办法》,将信息安全等级保护工作写入法规中。同年,浙江省发布了《浙江省信息安全等级保护管理办法》,细化信息安全等级保护工作要求。2017年随着《网络安全法》的实施,信息安全等级保护制度改为网络安全等级保护制度。2018年6月,公安部向社会发布了《网络安全等级保护条例(征求意见稿)》公开征求意见。网络安全等级保护的法律法规体系正在逐步完善。
网络安全等级保护的工作内容
很多人对网络安全等级保护的工作存在误解,以为网络安全等级保护的工作就是等保备案和等保测评。这种认识完全本末倒置,网络安全等级保护的工作是根据信息系统遭到破坏后带来对客体的侵害程度分成五个保护等级,每个保护等级落实相应的安全工作要求,等保备案和等保测评仅仅是监督这项工作的落实的法定程序。
网络安全等级保护制度要求信息系统责任主体落实信息系统的安全策略和管理制度、安全管理机构和人员、物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、安全建设管理、安全运维管理等系统安全各个维度的工作要求。
等保测评并不是落实这些维度的安全措施,而是一个医生给病人把脉诊断的过程,同时给出治疗建议。至于病人吃什么药,做什么改进,是信息系统责任主体权衡多方因素后进行整改和安全加固。
网络安全等级保护制度的适应性
网络安全等级保护制度从2007年实施到现在,已经走过十一年,它具有强大的适应性,依然能够跟上日新月异的技术发展。
首先,它的等保定级是以被破坏后对国家安全、社会稳定和公共利益侵害程度为导向,无论以后出现多少新技术、新应用都不影响等保定级工作。其次,是等保测评的评分机制,达到60分就能基本符合,并不要求信息系统所有子项目都达标,毕竟信息系统在现实应用中各种环境和需求各不相同,受各种因素干扰,避免不计成本的安全投入。
再次,测评的技术标准可以根据时代发展和需求进行修改,等保2.0的测评体系在扩展要求部分增加云机关安全、移动互联安全、物联网安全、工业控制系统安全等新技术新应用的需求。
网络安全等级保护制度的现实意义
网络安全等级保护制度的实施为信息系统安全工作开辟了一条可落地可操作的道路。从国家层面看,对所有信息系统都要落实安全措施,但没有绝对安全,不计成本的投入,追求绝对安全是错误的。
网络安全等级保护制度恰恰体系化的指导各信息系统根据各自责任落实相应技术措施,避免安全工作的不作为、或乱作为。从信息系统责任主体单位看,为落实信息系统安全工作提供方向和依据,一般单位的信息系统安全工作分两步,先是落实合法合规的安全工作要求,再落实业务特殊的安全需求。网络安全等级保护制度就是明确法律法规要求,让安全工作有法可依。从公民个人层面来看,网络安全等级保护制度落实是个人安居乐业的必要保障,保障那些生活深度依赖的信息系统服务不断,保障水电交通等基础设施平稳运行,保障个人信息、资金等安全保管。