周末谈等保:等级保护测评的价值和意义

admin 2022年7月17日03:01:48评论444 views字数 1738阅读5分47秒阅读模式
首先,我们应该正确的认识等级保护测评的价值和意义,不能陷入为了测评而测评,测评是我们工作的一个参照点,绝不是逃避监管的法宝,客观的说等级保护测评目的可以分为三个方面:一是可以发现网络存在的安全问题,掌握网络的安全状况、排查网络的安全隐患和薄弱环节、明确网络安全建设整改需求;二是衡量网络的安全保护管理措施和技术措施是否符合等级保护的基本要求、是否具备了相应的安全保护能力;三是等级测评结果是公安机关等安全监管部门进行监督、检查、指导的参照。
周末谈等保:等级保护测评的价值和意义
首先,我们看到第一点是发现网络存在的安全问题,掌握网络的安全状况、排查网络的安全隐患和薄弱环节、明确网络安全建设整改需求,根据需求和测评中提出的建议进而形成科学合理的整改方案,方案通过论证在实施过程中不会引入新的安全隐患后,则可以做好备份等准备活动,进行安全整改。在设计方案过程中,切记安全是需要服务于业务的,不能因安全影响业务正常运行,所以在确定方案过程中要通过充分的论证,做到安全建设整改以及运营成体系化;
其次,我们看到第二点衡量网络的安全保护管理措施和技术措施是否符合等级保护的基本要求、是否具备了相应的安全保护能力;其实《信息安全技术 网络安全等级保护基本要求》这个标准,是我们通过管理措施和技术措施,实现技管并重,达到的目标性。而测评就是验证我们在通过技管两条线是否达到了目标要求,若未达到对应的安全保护能力,则也就形成安全差距,进而得到安全需求分析,通过分析差距进而可以形成安全整改方案,同样这个方案可以与第一点提到的方案是合而为一的,彼此并不矛盾,只是从这个角度重新审视等级保护测评的价值,还是服务于安全建设整改工作,最终实现网络安全保护能力整体提升。
周末谈等保:等级保护测评的价值和意义
再次,我们看到第三点说到等级测评结果是公安机关等安全监管部门进行监督、检查、指导的参照。在这里,我们非常多的单位有太多的“声称性”的安全“实现”,并未真实的开展网络安全建设整改工作,很多工作流于形式,浮于表面,每每在监管部门检查时,都是通过补材料的方式应付检查,并没有真心把网络安全作为其真实目的,公安机关采取可以采取调取测评报告,通过现场核查方式,一则比对测评报告中的风险隐患是否得到整改或者有效控制;二则对测评机构与被测评单位是否弄虚作假有个全面的了解。

我们知道等级保护工作有五个规定动作,那就是网络定级、网络备案、安全建设整改、等级测评和监督检查,其中网络安全等级保护安全建设整改工作是网络安全等级保护制度的核心和落脚点。建设整改工作就是要按照国家网络安全等级保护管理规范和技术标准,进行等级保护对象安全保护的规划设计;使用符合国家有关规定,满足等级保护对象安全保护等级需求的信息技术产品和网络安全产品,开展安全建设或者改建工作;制定、落实各项安全管理制度,定期对等级保护对象的安全状况、安全保护制度及措施的落实情况进行自查,选择符合国家相关规定的网络安全等级测评机构,定期进行等级测评;制定不同等级网络安全事件的响应、处置预案,对网络安全事件分等级进行应急处置。

周末谈等保:等级保护测评的价值和意义

只要真实的按照网络安全等级保护制度及对应的国家标准开展建设整改,才能有效消除隐患减少风险,才能逐步提升网络安全保护能力,最终才是服务于安全的。再次,强调网络安全工作是一个体系化的工作,各个环节的工作是环环相扣的,一旦违背的科学的客观规律,最终都将极大的提升成本,造成资源浪费或二次浪费,所以从网络规划设计阶段就同步设计网络安全,落实网络安全等级保护对后期网络安全建设具有非常强的指导意义。


在落实网络安全等级保护工作中,等级保护测评是对等级保护工作的定级、备案、安全建设的一次验证,在验证中找到进一步协助单位实现识别风险,为单位采取降低风险提供参考依据,所以在开展等级保护测评过程中,务必求真求实,切勿敷衍应付弄虚作假。声称的安全措施不具备真正抵御风险的能力,进而加大自身违法违规成本得不偿失。
声称的安全是真正开展安全路上的最大的障碍之一。

参考:

《关于开展信息安全等级保护安全建设整改工作的指导意见》

《信息安全技术 网络安全等级保护基本要求》

信息安全技术 网络安全等级保护测评过程指南》
《信息安全技术 网络安全等级保护测评要求》等

原文始发于微信公众号(河南等级保护测评):周末谈等保:等级保护测评的价值和意义

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月17日03:01:48
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   周末谈等保:等级保护测评的价值和意义http://cn-sec.com/archives/1181196.html

发表评论

匿名网友 填写信息