1)为客户梳理清晰的安全工作思路,明确发展方向;
2)满足用户建立适度安全保障的需求;
3)全面提高信息安全保障水平,通过建设整改达到体系化程度;
4)满足国家信息安全等级保护相关政策与标准要求;
5)确保重要系统的安全,整体上节省安全建设资金;
6)通过分级、分域防护的方法解决不同系统间互连互通的难题;
7)依据客户要求与系统属性结合差距评估更准确覆盖整个等级保护实施生命周期。
什么样的系统应该定级
根据网络安全等级保护条例要求,在我国境内使用的任何非涉及国家秘密的网络信息系统均应受网络安全等级保护要求管理(个人或家庭自建网络除外)。这就要求各政府部门、企事业单位应根据《网络安全法》和《网络安全等级保护条例》的要求,梳理所属信息资产,划分系统并确定安全保护等级。
如何划定系统的范围
网络安全等级保护中的系统具有三大特征:
1、有明确的安全责任主体,即该系统如果出现安全事件应由谁负有安全责任;
2、应承载相对独立的业务应用,因此系统内部的各子模块应具有一定的关联性,两个不相干的业务应用不能放在同一个系统中;
3、包含相互关联的多个资源,应具有构成信息系统基本要素,单一设备(服务器、终端、网络设备)不能单独定级。
因此,客户应根据自身的业务需求和特点,结合近期信息发展规划,合理划分系统。应注意的是当系统承载的业务应用或运营环境发生变化后应重新定级。因此系统的划分合适最好,过大容易出现频繁定级的可能,过小信息安全方面的投入较大,且管理起来也不方便。
系统的定级是不是越高越好
网络安全等级定级指南中要求,系统定级应从业务信息安全和系统服务安全两方面确定,通过分析受侵害的客体以及对客体的侵害程度来确定系统的安全保护等级。同时安全保护的等级越高所需要付出的安全资源就越多,从资源的合理配备的角度来说,也是合理定级最好。
是不是通过了等级保护测评就证明我的系统安全了
网络等级保护工作贯穿信息系统的全生命周期,等级保护测评工作是一个持续性工作,需要网络系统运营维护者,在系统运营过程中保持足够的安全意识,根据系统状态,不断的增强防护能力,应对可能出现的突发安全事件,防止其对系统造成不必要的伤害。等级保护测评工作只是验证、核查系统在上一报告出版日期至本报告形成之日之间的系统安全状况,提示其存在的安全风险。
一级系统是不是就不用考虑安全方面的问题了
当然不是,国标《网络安全等级保护基本要求》中明确了对等级保护一级系统的安全要求。网络安全等级定义为自主保护级,系统应能够防护系统免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的关键资源损害,在系统遭到损害后,能够恢复部分功能。一级系统虽然不需要到网络安全管理部门备案,系统的责任主体根据《网络安全等级保护基本要求》的规定,落实系统安全防护要求。
安全检测、风险评估与等保测评的区别
虽然三者都是对信息安全的检查,在实际应用中还是有着较大的区别。
安全检测一般是指一种专项安全检测,在不同的行业或领域检测的内容不尽相同,在网络安全领域多指设备类的安全测试或针对应用软件的安全测试。
风险评估就是量化测评某一事件或事物带来的影响或损失的可能程度。一般步骤为:识别评估对象面临的各种风险;评估风险概率和可能带来的负面影响;确定组织承受风险的能力;确定风险消减和控制的优先等级;推荐风险消减对策。一般应用于对一个企业或部门的整体安全评价。
等保测评是一项合规性检查,是对被测系统检查、分析,对比等级保护制度管理要求,判定其符合程度并找出存在差距,提出整改建议。
安全检测的分类分项较多,没有专门的资质要求,而风险评估和等保测评均有相应的资质管理要求。
由于等级保护测评工作涉及对被测系统的物理环境、支撑系统、应用软件到管理制度等全方位的评估,因此评估测评工作的工作量多从被测系统的操作系统数量、设备总数,应用系统的页面等多方面考虑,同时还要分析系统涉及到的扩展要求。