等级保护工作在公安部、国家保密局、国家密码管理局等部门的努力下,在我国已经实施了十余年,但是在很多网络安全运营者以及新接触网络安全等级保护从业者,在此前了解甚少,认为等级保护是近几年的一个新生事物。如果不能正确了解把握等级保护制度,不能正确理解看待等级保护制度,则容易务虚而无法踏实。如果不能理解我国政策的一以贯之的连续性以及我国在等级保护领域所付出的巨大努力,自然也很难正确对待等级保护工作的开展,会认为是一项一阵风一样的工作。我们做这样的对比也就是希望通过这个时间线能够让朋友们正确的从长远眼光正视网络安全的等级保护工作,将网络安全工作落到实处,务实而非务虚。实践证明,等级保护工作是开展网络安全保障工作的最重要抓手,也是网络安全保障工作的重要内容。
那么,我们依旧通过对比等级保护1.0和等级保护2.0两个有关“网络安全等级保护是国家网络安全工作的基本方法”的描述,让我们有个历史时间的认知。个别字句,有所删减和调整。
信息安全等级保护是信息安全保障工作的基本方法(等级保护1.0)
信息安全等级保护是国家信息安全保障工作的基本方法。等级保护制度提出了一整套安全要求,贯穿系统设计、开发、实现、运维、废弃等系统工程的整个生命周期,引入了测评技术、风险评估、灾难备份、应急处置等技术。按照等级保护制度中规定的五个动作“定级、备案、建设、测评、检查”,各单位各部门开展信息安全工作,先对所属信息系统(包括信息网络)开展调查摸底、梳理信息系统,再对信息系统定级,定级后二级以上系统到公安机关备案,然后按标准进行安全建设整改,开展等级测评。公安机关按照系统级别实施不同强度的监管,对进入重要信息系统的测评机构以及信息安全产品分等级进行管理,对信息安全事件分等级响应和处置。经过一系列工作的开展,将信息安全保障工作落到了实处。
网络安全等级保护是网络安全工作的基本方法(等级保护2.0)
网络安全等级保护是国家网络安全工作的基本方法。网络安全等级保护工作的目标就是维护国家关键信息基础设施安全,维护重要网络设施、重要信息系统、重要数据的安全。等级保护制度提出了一整套安全要求,贯穿网络和信息系统的设计、开发、实现、运维、废弃等系统工程的整个生命周期,引入了测评技术、风险评估、灾难备份、应急处置等技术。按照等级保护制度中规定的“定级、备案、建设、测评、检查”这五个规定动作,各单位、各部门开展网络安全工作,先对所属网络、信息系统和数据开展调查摸底,再对网络进行定级。定级后,第二级以上网络要到公安机关备案,然后按标准进行安全建设整改,开展等级测评。公安机关对网络安全工作开展监督管理,按照不同的网络级别实施不同强度的监管,对进入重要信息系统的测评机构及信息安全产品分等级进行管理,对网络安全事件分等级响应和处置。通过开展一系列重点工作,采取一系列重要的安全管理和技术措施,将网络安全工作落到实处。
从上面描述我们知道了,等级保护制度提出了一整套安全要求,贯穿网络和信息系统的设计、开发、实现、运维、废弃等系统工程的整个生命周期,引入了测评技术、风险评估、灾难备份、应急处置等技术。从中我们看到等级保护制度所提出的一整套安全要求是贯穿了一个网络和信息系统整个生命周期每一个阶段。正因为等级保护制度有一整套安全要求,所以在等级保护工作开展中,无论是哪一个环节,都要明白“汝果欲学诗,功夫在诗外”这个道理,因为每个环节工作在开展中看似孤立,其实是彼此相辅相成紧密联系的,如系统设计阶段你不考虑等级保护相关国家标准的要求,那么在测评阶段你就很难满足等级保护测评国家标准的要求,进而影响客户在等级保护中的结论或结果,同时为用户带来安全合规性和网络安全双重风险。同样,在测评环节不理解设计环节通过何种手段实现相关要求,测评的客观公正性也必然大打折扣。
网络运营者需要充分理解等级保护的“五个规定动作”,力求做到“三同步”。其中定级、备案、建设是网络运营者的责任,在这个三个环节中可以寻求测评机构以及具有提供相关咨询服务能力的安全企业的服务,以期在定级、备案、建设等环节能够同步满足并落实等级保护相关国家标准。在测评环节,测评机构参与度加大,与网络运营者配合完成等级测评工作,如果前期工作开展非常好,则等级测评阶段工作开展也将非常顺利。检查环节属于公安机关主导的工作,全线贯穿整个等级保护工作,我们看到公安机关检查就比较全面,对网络运营者、测评机构、安全服务商及安全产品等都进行监督管理。