2009年这个1429号文,是我们做等级保护测评工作的朋友们应该深入学习的一个文件,我感觉它是一个宝藏。公安部为进一步贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》和《关于信息安全等级保护工作的实施意见》、《信息安全等级保护管理办法》(简称《管理办法》)精神,指导各部门在信息安全等级保护定级工作基础上,开展已定级信息系统(不包括涉及国家秘密信息系统)安全建设整改工作而印发《关于开展信息安全等级保护安全建设整改工作的指导意见》。看信息系统安全等级保护基本要求是什么,见下图!
还有一个是大家去北京参加等级保护测评培训时,老师们经常展示的一个图,看下面!
这个图,顺着箭头指向看去,最终汇集到上面椭圆“信息系统安全等级保护建设”,做等级保护技术最终落脚点是这个椭圆,从整个政策来说当然是提升我国整体网络空间安全。就技术说技术,很多朋友可能记得这张图,应该是北京培训时,马力等老师展示过的图,而回去后应该没有翻翻整个图的出处,现在我来告诉你,他的出处就是1429号文。
按照国家有关规定,依据《基本要求》,参照《信息系统安全管理要求》等标准规范要求,开展信息系统等级保护安全管理制度建设工作。这里又有一个信息系统安全管理建设整改工作流程,这个也是培训时老师们经常在PPT里强调的,他的出处也是在这个文件。当然,其实老师们在培训时,也多次强调这个文件,但是过了等级保护考试培训之后,很多朋友可能感觉万事OK,对培训课上讲的啥,记不清也懒得去记清它了。下面还有一个信息系统安全技术建设整改工作流程
按照国家有关规定,依据《基本要求》,参照《信息系统通用安全技术要求》《信息系统等级保护安全设计技术要求》等标准规范要求,开展信息系统安全技术建设整改工作。从管理到技术,这两条线非常清晰,所以对我们开展等级保护工作助益匪浅。
后面涉及到建设经费预算和工程实施计划(建设经费预算、工程实施计划)、方案论证和备案,安全建设整改工程实施和管理(工程实施和管理、工程监理和验收、 安全等级测评)等,把整个信息系统建设整改周期基本上都包含进来了。另一个有价值的信息在下面附录,即信息安全等级保护主要标准简要说明。其实,这些内容最后被整合到了《信息安全等级保护政策培训教程》中,如果用心读过这个教程,应该也对这些内容不陌生。
这个附录说明了,信息安全等级保护相关标准大致可以分为四类:基础类、应用类、产品类和其他类。如基础类《计算机信息系统安全保护等级划分准则》(GB17859-1999) 、《信息系统安全等级保护基本要求》(GB/T22239-2008)。应用类涵盖信息系统定级、 等级保护实施、 信息系统安全建设、等级测评等,标准如《信息系统安全保护等级定级指南》(GB/T22240-2008)等诸多国家标准。产品类标准则涵盖操作系统、数据库、网络、PKI、网关、服务器、入侵检测、防火墙、路由器、交换机及其他产品等。这个文件里给出了信息安全等级保护相关标准体系图,如下图:
后面又给出了信息系统定级阶段内容、 总体安全规划阶段内容、安全设计与实施阶段内容、安全运行与维护阶段内容、 信息系统终止阶段内容的综述。其流程图如下:
总之,这个文件其实价值不菲,是一个开启等级保护工作的钥匙,也是一个宝藏。你是不是感觉安全计算环境、安全区域边界、安全通信网络、安全管理中心是等级保护2.0中的专有术语呢?告诉你,这个文件里其实已经提到这些信息内容,个人理解应该是综合当时的实际情况,才没有一次性把这些内容都涵盖在等级保护1.0中来,但是那时间已经在做铺垫了。如果,你对等保了解够深,其实如安全管理中心这个概念,在此文件之前已经在等保相关标准中已经存在了。我们看一下当年对安全计算环境如何描述:安全计算环境是对定级系统的信息进行存储、处理及实施安全策略的相关部件。
这个文件,内容量太大了。我读着是感觉如饮甘怡,越品越甜。简单说两句自己的看法,通过对这个文件的学习,我发现我们不能孤立机械的去理解《基本要求》,等级保护体系是众多标准共同组成的,除了基础类标准,产品类标准也是辅助或者帮助我们理解测评的,而很多内容在不参考这些标准的情况下,会生发出过多的主观解读以及误读等,很多技术人员自认为技术能力强,强行按照自己的理解去解读《基本要求》中的描述,最终与实际的标准解读背道而驰。有些时间,甚至是望文生义,进而整个测评团队一起在错误解读《基本要求》的道路上,越走越远。另外,通过对等级保护1.0相关政策文件和标准的学习,我发现以前刚入行时的疑惑,逐个渐渐解决了。虽然不能说通透,至少不再那么疑惑,很多东西都能找到其出处或落脚点了。所以,我进入等级保护这个行业,算是先前走错了路,上来就是一本《信息安全等级保护政策培训教程》,当时读着感觉云里雾里摸不着头脑,如今结合这几年的工作经验,越发感觉这些政策的强大作用力以及我国等级保护制度设计的优越性。
上次介绍政策时,我提前铺垫了2009年在网络安全保卫局统一领导下,浙江、河南、重庆、广东省公安厅、局公共信息网络安全监察总队以及宁波、深圳市公安局公共信息网络安全监察支队、国家电力监管委员会信息中心率先进入试点,是等级测评体系建设的一次全面实践和检验,主要工作成效:一是检验了等级测评机构条件的必要性和可行性。二是探索了行业性、地区性信息安全等级测评机构组建模式。三是检验并完善了等级测评活动规范化要求的科学性、适用性。四是检验并完善了测评师培训和测评机构能力评估流程和方法。五是检验并完善了的规范、标准。六是锻炼了队伍,提高了测评业务能力和水平。
个人能力有限,很多学习理解尚处于粗浅状态,也期待方家的指引与教诲。在此,期盼有志于等级保护工作的朋友共同进步。也期待,有等级保护需求的朋友洽谈合作。我将在接下来的时间,继续把我的学习情况通过这个公众号,向大家汇报。
原文始发于微信公众号(祺印说信安):闲话等级保护:如何开展等级保护的建设整改工作?
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/1210776.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论