在与一些单位交流时,总感觉有些地方存在问题,但又不是说得太清楚。如原来有领导说过,在他们去某单位监督检查时,该单位把公安机关发放的《备案证明》悬挂在其荣誉区,当做了一项公安机关对他们保证性的证明了。其实,这家单位的理解存在误区的,非常有误的。
能力成熟度模型最初是作为客观评估政府承包商流程实施合同软件项目能力的工具而开发的。该模型基于IEEE软件中首次描述的流程成熟度框架,后来在1989年出版的Watts Humphrey的“管理软件过程”一书中进行了描述。它后来在1993年的一份报告中发表并于1995年作为同一作者的一本书出版。
![浅析网络安全等级保护与能力成熟度模型]( "浅析网络安全等级保护与能力成熟度模型")
首先,该单位未理解等级保护的含义,致使他们认为拿到了“等级保护证明”就是代表了其具备相应的能力。其实,等级保护定级、备案工作的开展是与其理解恰恰相反的一件事情。真实情况:定级是一个设定或者说确定目标的过程,备案是告知或者向公安机关承诺会按照国家有关标准要求达成目标的一个过程,所以到公安机关备案,恰恰是证明你向公安机关承诺你将按照等级保护某个级别的国家标准要求去开展网络安全建设或整改工作,公安机关后期会根据自己的监管职责对你网络建设过程开展监督检查。
若未按照原来备案的对应级别的国家标准开展工作,公安机关有权对该单位进行处罚。处罚则依据网络安全相关的法律法规,如《中华人民共和国网络安全法》第二十一条明确了责任单位的责任和义务,而具体的则由《信息安全等级保护管理办法》等规范性文件以及《网络安全等级保护基本要求》来承接细节性工作,而更近一步的要求就是《网络安全等级保护基本要求》中的某一项、某一则背后的国家标准以及标准涵盖或要的技术。比如防火,则需要去找有关建筑防火、机房防火的具体标准,按照具体标准的要求和技术来落实具体的工作。
为什么这些单位会把《备案证明》当作是一种公安机关的背书呢?我个人理解,因为在社会上的绝大多数的认证,都是代表一定的能力。特别一些能力成熟度模型,这些能力成熟度的认证是基于你现状进行客观评估,评估一个已经存在的事物,给你一个对应评级。以成熟度模型的五级论,你能满足第一级水平要求,通过全面的评估,则给你颁发第一级的认证证书,你能满足第二级水平要求,就给你颁发第二级的认证证书,依此类推。同样,如果你经营或者管理不善,通过全面的评估,能力下降结果低于原来评级时,则级别在认证结束后,会给你进行调级,做降级处理。反之,当你能力迭代后,感觉可以上升一个级别后,则可以开展评级工作,实现晋级。
网络安全等级保护工作是一个强制性的要求,所谓要求就是目标性的。也就是网络安全等级保护的定级,确定级别就是确定安全目标,而这个安全目标不会因为你能力不足,给你降级而是强制性要求你达标,通过加固整改向目标靠拢。这是制度性设计要求这样,而能力成熟度本身设计是不强制的,只要能够接受对应级别带来的影响即可。等级保护工作则不然,不满足则可能违法,违法就会受到监管部门的处罚。
等级保护定级备案是设定目标,直奔目标而去,为目标导向;
能力成熟度模型是证明现状,评判出能力级别,为结果导向。
等级保护是强制性的、目标性的,定级备案是设定了能力要求目标,但并未证明其能力,通过测评来验证是否达到目标,能力不足则需要补足能力,不因能力大小改变其网络安全保护级别,其级别变动灵活性弱;
能力成熟的是结果性的,根据检测结果一个评定能力认定,能力不足则降级,通过迭代可以升级,其级别变动随能力变化而变动,能力变动级别随之升降,其级别变动灵活性强。而社会上,很多人感觉都是在以对应级别去评判一件事情,往往将等级保护当做了能力成熟度去解读,也就引出了很多误会。把备案证明这个目标设定证明性文件,当做了能力成熟度结果验证性的证明文件。等级保护工作的等级测评,是对等级保护阶段性工作的一个验证,而验证后则是强制性的整改工作,并不再通过颁发证书或证明形式来说明防护水平和能力,要求持续性连续性地开展等级保护工作。
按照等级保护诸多文件精神,落实“三同步”要求,定级、备案时,你还未真正的从技术和管理两个大方向开展安全建设工作,自然不能用“备案证明”去证明你具备什么能力,只能是你应该按照什么样的能力要求开展工作,也证明你拥有这么一个级别的网络,纳入公安监管范围之内;而能力成熟度,则是在已完成的客观基础上,给你一个客观评定等级。
等级保护的级别确定后是要求,能力成熟的级别确定后是结果。一点浅析,望方家指正,以待后期深入探讨!
原文始发于微信公众号(祺印说信安):浅析网络安全等级保护与能力成熟度模型
评论