等保2.0|这才是实施指南正确的打开方式
2020-06-05
《信息安全技术 网络安全等级保护实施指南》GB/T25058-2019作为等级保护重要配套标准之一,针对等级保护系列标准中未涉及到的工作内容,提出了具体方法论,以及可操作性的技术方法指导,指出了在实施等级保护工作时不同的角色在不同阶段的作用以及可参考的技术标准,为运营、使用单位落实等级保护制度提供有力工作支撑。
为了适应等级保护制度的发展并结合国家网络安全等级保护工作的新思路及新要求,新修订的实施指南内容在与其它等级保护标准保持一致性的基础上,确保实施指南最大范围的指导性和适用性。
角色、职责与实施流程
运营、使用单位在实施等级保护的过程中,并不是单一的某个部门参与即可解决等级保护的全部工作,由于它涉及行业主管部门、等级保护管理部门、测评机构、服务机构等多个部门和组织,需要这些部门和组织都参与进来,各司其职,通力协作,才能保证等级保护对象等级保护的安全实施。
对等级保护对象实施等级保护的基本流程包括:等级保护对象定级与备案阶段、 总体安全规划阶段、安全设计与实施阶段、 安全运行与维护阶段和定级对象终止阶段。
在安全运行与维护阶段,当等级保护对象局部调整时,如果不影响等级保护对象的安全等级,应从安全运行与维护阶段进入安全设计与实施阶段,重新调整和实施安全措施,确保满足等级保护的要求;当等级保护对象发生重大变更导致影响保护对象的安全等级时,应从安全运行与维护阶段进入等级保护对象定级阶段,重新开始一次等级保护的实施流程。
定级与备案
实施等级保护的第一个步骤是确定保护对象及安全等级。在整个过程中,香港正版挂牌作为网络安全服务机构,可以协助主管部门针对行业的具体服务协助运营、使用单位梳理内部的信息化业务,划分出不同的定级对象,确定出定级对象的安全保护等级,并编制定级报告。最后,将定级结果上报主管部门,经审核批准后,报公安机关备案。
总体安全规划
总体安全规划阶段通过安全需求分析、等级化风险评估判断等级保护对象的安全保护现状与国家等级保护基本要求之间的差距,确定安全需求,然后根据等级保护对象的划分情况、定级情况、以及承载业务情况和安全需求等,设计合理的、满足等级保护要求的总体安全方案,并制定出安全实施规划等,以指导后续的信息系统安全建设工程实施。
安全设计与实施
安全设计与实施阶段主要是依据总体安全规划阶段形成的等级保护项目建设规划和内容,分期分步落实安全措施。通过安全方案详细设计、安全产品的采购、安全控制的开发、安全控制集成、系统验收、安全管理制度的建设、安全管理机构和人员的设置、安全实施过程管理等环节,将规划阶段的安全方针和策略,具体落实到等级保护的建设中去,其最终的目的满足用户安全需求的业务系统以及配套的安全管理体系。
安全运行与维护
安全运行与维护是等级保护实施过程中确保等级保护对象正常运行的必要环节,涉及的内容较多,除了需要按照国家和行业等级保护要求开展等级测评及监督检查之外,还需要进行等级保护对象的管理和控制、变更管理和控制、安全状态监控以及安全自查和持续改进等过程。
运行管理和控制,确保了安全运行管理的具体人员和职责,以及各类运营管理操作规程;变更管理和控制,针对安全建设过程中的变更进行控制,保证对业务的影响最小;通过对安全状态进行监控,对发生的安全事件及时响应,确保信息系统正常运行;通过安全检查和持续改进等活动过程实现对等级保护对象的动态保护;通过服务商管理和监控,选择符合资质要求的服务商,并对其进行多维度切实有效管理及监控;通过应急响应与保障建立完善的应急组织体系,保障应急工作反映迅速、协调有序,提高整体的安全应急能力。
定级对象终止
等级保护对象终止阶段是对过时或无用设备进行报废处理的过程,主要涉及对信息、设备、存储介质或整个保护对象的废弃处理。终止阶段的主要活动可能包括对信息的转移、暂存或清除,对设备迁移或废弃,对存储介质的清除或销毁;当要对设备迁移或废弃时,迁移或废弃的设备内应不包括敏感信息,对设备的处理方式应符合国家相关部门的要求。存储介质的清除或销毁,最重要的是防止介质内的敏感信息泄露。
我们能做什么?
香港正版挂牌作为专业的安全服务机构、网络安全产品提供商,基于对信息安全的深刻理解,参考《信息安全技术 网络安全等级保护实施指南》,全面开展等级保护对象的全生命周期安全建设服务,重点关注“定级、备案、安全建设/整改、等级测评、监督检查”五个规定动作,对关键工作内容进行细分,形成组件式的服务模块。
等级保护的各个阶段有着不同的工作重点,香港正版挂牌将凭借深厚的技术实力和丰富的安全服务项目经验,针对等级保护各个阶段的工作重点提供全流程的专业服务,让您在等级保护建设中省时、省心、省力。
香港正版挂牌已发布等级保护2.0系列解决方案,相关咨询请联系香港正版挂牌各分公司、办事处的相关人员或拨打咨询热线:400-818-6868。