本期关键词:
总体安全规划、网络等级保护、需求分析、总体规划、建设规划
前面通过《网络安全等级保护:做好定级与备案工作从这里开始》谈了定级、评审与备案三个工作项。接下来则是建设整改工作部分,但是从《信息安全技术 网络安全等级保护实施指南》,这块工作则进入总体安全规划阶段,和《信息安全等级保护管理办法》五个规定动作不再是一一对应关系了。
细分又包括需求分析、总体设计、建设规划,“三同步”原则为“同步规划、同步建设、同步使用”,也就是在规划之际就要考虑落实等级保护工作,而不是待测评时才考虑要“过”等保。另外,等级保护测评原则上不存在过不过,只是对相应的系统给出科学公正的评价。过不过等保与前期规划有着莫大的关系,再者等级保护测评工作的最终落脚点也是安全整改,也就是在安全整改中寻求落实等级保护工作未做到“三同步”而遗留的重大安全问题。
总体安全规划是落实等级保护工作的前期工作,也是非常重要的环节。在这个环节,网络运营、使用单位若自身实力不够,一定要找足够专业的安全服务机构或专家参与其中,提供专业的服务和指导。如上图,我们看到网络安全等级保护落脚点在建设整改上,只有通过建设和整改才能真正提升网络安全防护水平。
所谓预则立,不预则废。在总体安全规划阶段就要明白落脚点在哪里,其支撑的标准和文件是什么,才能做好总体安全规划,才能够依据规划做好网络安全工作。
总体安全规划阶段的目标是根据等级保护对象的划分情况、等级保护对象的定级情况、等级保护对象承载业务情况,通过分析明确等级保护对象安全需求,设计合理的、满足等级保护要求的总体安全方案,并制定出安全实施计划,以指导后续的等级保护对象安全建设工程实施。
依据上图,我们将总体安全规划工作分成三个阶段。
这个阶段分基本安全需求和特殊安全需求。
该阶段输入内容有等级保护对象详细描述文件、安全保护等级定级报告、基本安全需求、重要资产的特殊保护要求等。这个阶段完成安全需求分析报告。根据基本安全需求和特殊的安全保护需求等形成安全需求分析报告完成安全需求分析报告包含但不限于 等级保护对象描述、基本安全需求描述、 特殊安全需求描述。
这个阶段的工作是运营、使用单位,网络安全服务机构共同完成。
通过总结基本安全需求和特殊安全需求,形成安全需求分析报告,最终输出安全需求分析报告。
该阶段又可以分为总体安全策略设计、安全技术体系结构设计、整体安全管理体系结构设计,最终则完成设计结果文档化。
等级保护对象安全总体方案应包含但不限于等级保护对象概述、总体安全策略、 等级保护对象安全技术体系结构、 等级保护对象安全管理体系结构。
第三阶段:安全建设项目规划
该阶段又可以分为安全建设目标确定、安全建设内容规划,最终则形成安全建设项目规划。
安全建设目标确定需要输入等级保护对象安全总体方案、机构或单位信息化建设的中长期发展规划。通过信息化建设中长期发展规划和安全需求调查、提出等级保护对象安全建设分阶段目标,确定各个时期的安全建设目标。最终输出等级保护对象分阶段安全建设目标。
1) 安全基础设施建设;
2) 网络安全建设;
3) 系统平台和应用平台安全建设;
4) 数据系统安全建设;
5) 安全标准体系建设;
6) 人才培养体系建设;
形成安全建设项目规划需要输入等级保护对象安全总体方案、等级保护对象分阶段安全建设目标、安全建设内容等,对等级保护对象分阶段安全建设目标、安全总体方案和安全建设内容等文档进行整理,形成等级保护对象安全建设项目规划。在时间和经费上对安全建设项目列表进行总体考虑,分到不同的时期和阶段,设计建设顺序,进行投资估算,形成安全建设项目规划。输出等级保护对象安全建设项目规划。
安全建设项目规划可包含但不限于以下内容:
a) 规划建设的依据和原则;
b) 规划建设的目标和范围;
c) 等级保护对象安全现状;
d) 信息化的中长期发展规划;
e) 等级保护对象安全建设的总体框架;
f) 安全技术体系建设规划;
g) 安全管理与安全保障体系建设规划;
h) 安全建设投资估算(含测试及运维估算等内容);
这个阶段的工作主要是运营、使用单位,网络安全服务机构共同完成。
在接下来的时间里,我们将逐步展开这方面的内容,我想无论是对于集成方还是网络运营、使用方都有参考意义和价值。
-
《信息安全技术 网络安全等级保护定级指南》GB/T 22240-2020
-
《信息安全技术 网络安全等级保护基本要求》GB/T 22239-2019
-
《信息安全技术 网络安全等级保护实施指南》GB/T 25058-2019
-
《信息安全技术 网络安全等级保护安全设计技术要求》GB/T 25070-2019
原文始发于微信公众号(河南等级保护测评):网络安全等级保护:从做好网络总体安全规划开始
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论