本期关键词:
法律 政策 标准
技术支撑 人才队伍 教育训练
网络安全等级保护制度
在1.0时代的描述里是这样,通过开展信息安全等级保护工作,可以充分体现“明确重点、突出重点、保护重点”的目的,将有限的财力、物力、人力投入到重要信息系统安全保护中,按标准建设安全保护措施,建立安全保护制度,落实安全责任,有效保护基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统的安全,有效提高我国信息安全保障工作的整体水平,有效解决我国信息安全面临的威胁和存在的主要问题。
信息安全等级保护是当今发达国家保护关键信息基础设施、保障信息安全的通行做法,也是我国多年来信息安全工作经验的总结。实施信息安全等级保护,有利于在信息化建设过程中同步建设信息安全设施,将信息安全保障与信息化建设相协调;有利于为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务:有利于优化信息安全资源的配置,对信息系统分级实施保护,重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全;有利于明确国家、法人和其他组织、公民的信息安全责任,加强信息安全管理;有利于推动信息安全产业的发展,逐步探索出一条适应社会主义市场经济发展的信息安全模式。
我将其称之为“五个有利于”,着眼“五个有利于”去思考问题。在2.0时代就明确谈论体系架构,有关网络安全等级保护制度的体系架构,其实从构建新的法律、政策体系作为支撑,构建新的标准体系、技术支撑体系、人才队伍体系、教育培训体系、保障体系,彼此互相作用互相促进,共同构建成为一个体系架构。体系性的建设需要体系性的了解,要对整个体系做到全面了解把握,才能对网络安全等级保护制度有个真正的认知。只有认知正确,才能在开展工作中明确方向,找准方法。在法律、政策体系建设过程中,属于国家、政府层面的工作,法律、政策体系的构建也是以保护国家权益的不同方面、不同层面着眼,从公民个人权益一直到整个国家的权益,都考虑在其中的。既然构建成体系,自然环环相扣不可脱节。
坚决贯彻落实《网络安全法》。制定出台《网络安全等级保护条例》《关键信息基础设施保护条例》。这两个条例,一个还在征求意见稿阶段,一个已经成文发布。特别是《关键信息基础设施安全保护条例》引发了安全圈的广泛关注与讨论学习。修改完善网络安全等级保护定级、备案、等级测评、安全建设整改、安全检查等政策规范。建立完善测评机构管理、信息安全企业管理规范。
修改出台国家标准《网络安全等级保护基本要求》《网络安全等级保护安全设计技术要求》《网络安全等级保护测评要求》,重点解决云计算、物联网、工控系统、移动互联、大数据安全。
国家标准方面已经出台标准有《信息安全技术 网络安全等级保护定级指南》《信息安全技术 网络安全等级保护实施指南》《信息安全技术 网络安全等级保护基本要求》《信息安全技术 网络安全等级保护测评要求》《信息安全技术 网络安全等级保护测评过程指南》《信息安全技术 网络安全等级保护安全设计技术要求》《信息安全技术 网络安全等级保护安全管理中心技术要求》等多个等级保护相关标准。
一是技术支撑体系,包括新一代网络技术、云计算技术、大数据技术、端计算技术、量子通信、量子计算、人工智能技术、区块链技术、虚拟现实技术等。
二是网络安全技术体系,包括可信计算技术、自主可控的密码技术、态势感知技术、高速网络传输安全防护技术、安全检测技术、主动防御技术、应急响应技术、侦察打击技术、车联网安全防护技术、云安全防护技术、网络反制技术、工业互联网安全防护技术、智能防护技术、生物识别技术等。
技术的进步,必然带来方法论的改进。网络安全等级保护制度的健全完善工作,不是一成不变的,是在面临持续变化的内外部环境而持续变化着的。网络安全是一个魔与道一体化,存在着道高一尺魔高一丈的不断变化,在保护网络安全方面的工作可以说艰辛而任重道远。
新的人才队伍体系包括公安机关网络安全人才、重要行业部门网络安全人才、等级测评机构网络安全人才、运行维护机构网络安全人才、系统集成商网络安全人才、产品开发商网络安全人才。
二十一世纪最缺的就是人才,我国在人才战略上的重视,相信只要关注最近新闻,自然可以有所感受。而网络安全人才、等级测评机构网络安全人才、运行维护机构网络安全人才、系统集成商网络安全人才以及产品开发商网络安全人才,在我国现阶段总体上还属于紧缺人才,人才机制还需要创新发展,而构建新的人才队伍体系,也是势在必行的重大事项。
新的教育训练体系建设工作包括:建立网上、网下教育训练环境;师资队伍建设;教材建设;题库建设;考试考核。
在引进人才的同时,培养人才也是一个最便捷的渠道。其实,我国自己教育训练出来的人才队伍,对国家的忠诚度会更高。而技术的日新月异的发展,也为人才自我的更新换代提出了要求,教育训练体系的构建,为人才知识老化提出了解决思路。既可以充分发挥老人才的人丰富经验,也可以提升老人才的新的知识体系,使之适应时代发展。
新的保障体系包括专业实验室、公安机关指挥作战平台、监督检查工具、重要行业部门业务支撑平台、自查工具、技术检测机构检测平台和工具、公安机关和重要行业部门的经费保障。
在等级保护工作中,人才创新是重中之重,《网络安全法》支持培养网络安全人才。人才资源是第一资源,人才竞争是最终的竞争。要完善网络安全人才的培养、使用、激励机制,为网络安全事业发展提供有力的人才支撑。只有网络安全人才满足需求,全社会的网络安全意识、基本防护技能和利用网络的信心才能大幅提升。人才是网络安全工作的第一资源。维护网络安全,必须依靠高素质人才队伍。近些年来,国内外都非常重视网络安全人才问题,采取多种方式支持培养网络安全人才。
网络安全等级保护制度:法律与政策依据
勒索软件常见问题知多少?
网络安全等级保护制度:法律与政策依据
个人信息保护:个人信息去标识化指南思维导图
数据安全:数据安全能力成熟度模型
网络安全等级保护:应急响应计划规范思维导图
红队最喜欢的18 种优秀的网络安全渗透工具
网络安全等级保护:什么是等级保护?
网络安全等级保护:网络安全事件应急演练指南思维导图
本文始发于微信公众号(祺印说信安):学习国家网络安全等级保护制度的体系架构
评论