安全資訊

等保測評有多重要?

【時(shí)間】2021-02-19

【編輯】Admin

【瀏覽量】

【等級保護QQ交流群】881590869

入行DJBH已有數年,從入行實(shí)習第一個(gè)月被某單位信息化負責人指責過(guò)“等保測評不重要”,到后來(lái)成為一名“老測評師”后,依稀會(huì )聽(tīng)到“等保測評不重要”之類(lèi)的言辭。在入行幾年里,從學(xué)著(zhù)如何開(kāi)展測評工作,到了解等級保護相關(guān)政策、標準以及等級保護的發(fā)展歷程,再到如何應用等級保護相關(guān)要求,始終在琢磨一個(gè)問(wèn)題:等保測評到底有多重要? 

答:

雖說(shuō)等級保護是網(wǎng)絡(luò )安全的基本要求,是一類(lèi)基線(xiàn)類(lèi)的合規檢查工作,等級測評工作“入行門(mén)檻不高,且容易上手”,但并不意味著(zhù)“等保測評是最低要求”,也不能講“等保測評不重要”。

01
等保前輩們的探索精神
“等級保護”一詞自1994年被提出,歷時(shí)16年的發(fā)展,從起初的“一無(wú)所有”到等保標準體系建設完善化,再到“有法可依”的等保2.0時(shí)代,是一代等保前輩在逐步推進(jìn),同時(shí)也凝聚了一代人的心血。國家的大力支持、主管部門(mén)的積極推動(dòng)以及等保逐步產(chǎn)業(yè)化,使得國家網(wǎng)絡(luò )安全行業(yè)有了迅速地發(fā)展。等級測評作為開(kāi)展等級保護工作的核心內容,豈能講“等保測評不重要”呢?等保2.0從2019年的正式實(shí)施,到后續推廣、落地,其適用性與可行性也逐步被論證;隨著(zhù)“新基建、數字經(jīng)濟、人工智能、5G”等一系列新興技術(shù)產(chǎn)業(yè)的發(fā)展,DJBH行業(yè)從業(yè)者應考慮如何秉承等保前輩們鉆研、探索的精神積極推動(dòng)等保工作的發(fā)展,為等級保護“正名”。


我國《標準化法實(shí)施條例》第20條規定:標準實(shí)施后,制定標準的部門(mén)應當根據科學(xué)技術(shù)的發(fā)展和經(jīng)濟建設的需要適時(shí)進(jìn)行復審,標準復審周期一般不超過(guò)5年。

02
等級保護的地位

等級保護是我國關(guān)于信息安全的基本政策,自1994年147號令首次提出計算機信息系統實(shí)行安全等級保護,到2007年43號文確立推進(jìn)等級保護相關(guān)事宜,再到2017年網(wǎng)絡(luò )安全法正式實(shí)施,等級保護制度上升到法律高度。網(wǎng)絡(luò )安全法律法規體系是國家網(wǎng)絡(luò )安全保障體系的重要組成部分,維護網(wǎng)絡(luò )安全,需充分發(fā)揮法律的強制性規范作用?!毒W(wǎng)絡(luò )安全法》是網(wǎng)絡(luò )安全工作的基礎性法律框架,是一項“基本法”,其解決了以下幾個(gè)問(wèn)題:

  • 明確了部門(mén)、企業(yè)、社會(huì )組織和個(gè)人的權利、義務(wù)和責任;

  • 規定了國家網(wǎng)絡(luò )安全工作的基本原則、主要任務(wù)和重大指導思想、理念;

  • 將成熟的政策規定和措施上升為法律,為政府部門(mén)的工作提供了法律依據,體現了依法行政、依法治國要求;

  • 建立了國家網(wǎng)絡(luò )安全的一系列基本制度,這些基本制度具有全局性、基礎性特點(diǎn),是推動(dòng)工作、夯實(shí)能力、防范重大風(fēng)險所必需。


等級保護制度作為國家網(wǎng)絡(luò )安全的一項基本制度,其從整個(gè)信息和網(wǎng)絡(luò )系統全局出發(fā),強化夯實(shí)網(wǎng)絡(luò )安全防護能力,盡可能地規避等級保護對象可能面臨的風(fēng)險。等級測評是等級保護的核心工作,是具有法律意義的一項工作,豈能講“等保測評不重要”呢?

03
等級保護體系

等級保護基本要求維持安全技術(shù)+安全管理的體系模式,從技術(shù)和管理兩個(gè)維度提出相應的安全要求,保障網(wǎng)絡(luò )和信息系統盡可能地安全。等級保護技術(shù)層面從等保1.0“分層防護、縱深防御”的體系到等保2.0“一個(gè)中心、三重防護”的縱深防御體系也是在吸收國際網(wǎng)絡(luò )安全先進(jìn)安全體系和安全理念。等級保護系列標準成體系化,2019年等級保護基本要求、設計要求、測評要求三大標準同時(shí)發(fā)布、同步執行,將等級保護工作與“三同步”融合,即在信息系統的“規劃、建設、運營(yíng)/使用”三階段生命周期,形成等級保護與“三同步”的結合點(diǎn)。在網(wǎng)絡(luò )和信息系統上線(xiàn)前后基于等級測評可發(fā)現其存在的安全隱患,及時(shí)整改,保證系統上線(xiàn)后安全、穩定、合規的運行。等級保護整個(gè)體系涉及面廣,基本涵蓋網(wǎng)絡(luò )安全所需的各項能力。因等級保護的“定位和作用”,使得其有點(diǎn)“廣而不深”,即等?;拘砸蟛⑽丛谀承┌踩珜用婕毣?,但其對系統安全體系建設存在一定的指導作用,豈能講“等保測評不重要”呢?

04
等保測評的嚴謹性


“任何一門(mén)學(xué)科如果不引入數學(xué), 就無(wú)法成為科學(xué)?!钡缺y評的測評結果分析與報告編制階段積極嘗試進(jìn)行量化,通過(guò)“定性+定量”的方式使得結果更具有科學(xué)性、更加的合理性,保證等級測評的嚴謹性。雖然等級測評工作的復雜程度以及科學(xué)程度沒(méi)有密碼學(xué)對于“數學(xué)”的理論性要求強,但等保測評也在積極推動(dòng)量化工作,多指標、多層次的量化工作并非易事,也希望DJBH行業(yè)從業(yè)者能夠積多人之力,實(shí)現量化方法更加合理化?!八惴úo(wú)錯與對,只有優(yōu)與不優(yōu)”,等保2.0中計算公式可能在理解、使用時(shí)存在一定的出入,但其依據“最優(yōu)距離法、平均法”的數學(xué)理論,也保證了一定的“科學(xué)性”。等級測評結論基于風(fēng)險的定性分析和測評結論的量化結果綜合進(jìn)行判定,測評結論如何合理的引導也是論證“等保測評非常重要”這一命題的有力支撐,用戶(hù)也無(wú)須擔憂(yōu)“測評分數”是“拍腦袋”得到的。

業(yè)內習慣稱(chēng)“等級測評”為“過(guò)等?!?,落實(shí)等級保護制度,開(kāi)展等級保護工作需進(jìn)行定級、備案、建設整改、等級測評、監督檢查一系列工作。用戶(hù)在積極落實(shí)等級保護工作過(guò)程中,等級測評僅僅是其中的一部分工作內容,等級測評結論為差,只能說(shuō)明等級保護對象安全防護能力暫未達到等級保護基本要求,還需繼續推進(jìn)整改工作。等級測評結論為差與不落實(shí)、開(kāi)展等級保護工作是兩個(gè)不同層面的事情,前者只需接受監督管理、持續改進(jìn),盡快滿(mǎn)足等級保護基本要求,后者則在違法網(wǎng)絡(luò )安全法,需要接受監管部門(mén)的處罰。等級測評非常重要,“0元過(guò)等?!笨赡艽嬖谡`導,用戶(hù)自身還需結合業(yè)務(wù)和實(shí)際網(wǎng)絡(luò )環(huán)境仔細落實(shí)。

服務(wù)熱線(xiàn)

138-6598-3726

產(chǎn)品和特性

價(jià)格和優(yōu)惠

安徽靈狐網(wǎng)絡(luò )公眾號

微信公眾號

午夜成人无码免费看网站_97国语自产拍在线_无码一区精油按摩视频_国产色婷婷五月精品综合在线