网络安全等级保护:信息安全服务提供方管理要求

admin 2023年1月17日14:48:15评论23 views字数 941阅读3分8秒阅读模式

网络安全等级保护:信息安全服务提供方管理要求

很多从事网络安全工作的企业,都认为信息安全服务是一块大蛋糕,但是怎么吃这块蛋糕呢?
有的人是饥不择食,胡乱啃咬,不得要领。有的人则是无知者无畏,全凭自己脑海中那错误的理解,上来就是程咬金三板斧。或者说,就像上海人说的“捣糨糊”,基本上没啥技术,全凭糊弄。什么资质、什么人员、什么管理、什么技术,一概不论,反正有的是关系,啃下来再说。糊弄完一年,自然要给一年的钱。或许,在北上广以及省会城市,信息安全服务还是有很多优秀的企业的,但是一旦到了地市或者县区,那就是谁的胆大谁就能干,三脚猫都是好手的感觉。

网络安全等级保护:信息安全服务提供方管理要求

曾经,有几个地市级网信办及网安民警朋友,私下问我。如果作为网络运营者,在找第三方服务时,有没有啥要求?我给他们说,信息安全服务、安全产品都有对应的资质来支撑的,而且要考虑企业综合管理和技术能力,以及人员安全能力的,自然需要有证明其具备开展相应工作的凭证要求的。
再者是,很多甲方在寻求第三方服务时,往往自己不懂容易被欺骗,又没有引入专家参与信息安全中来,各类工作开展可谓一塌糊涂。具体服务方应该如何开展工作,工作过程中应该达到什么样的要求,一概不知。比如,以我们最熟悉的等级保护为例,如果你单位需要落实等级保护,自然建设过程中满足“三同步”要求,该留的资料、该做的工作,安全服务机构和系统集成机构自然都该做了,因为这是最基本的合规。

网络安全等级保护:信息安全服务提供方管理要求
现实则是,很多单位不得不在最后阶段才发现很多内容未满足等级保护要求,经过测评发现许多问题。此时,无论是面子还是金钱都不允许重来,又要所谓的“过”等级保护,不得已就逼着测评机构出高分报告,基本上这类高分报告是架空的报告,那么甲乙双方都有责任的。

网络安全等级保护:信息安全服务提供方管理要求

回到信息安全服务,也就是在开展工作中。安全服务公司,应该比测评机构更加理解等级保护及其他国家法律法规及标准要求才行,因为网络运营者和安全服务公司答题者,而测评机构则是一个监考(兼阅卷)的老师,你一个学生不答卷或者答卷一塌糊涂,你再指望着追着监考(兼阅卷)老师要成绩,是本末倒置的。

网络安全等级保护:信息安全服务提供方管理要求

作为一个成年人,都知道这叫做作弊。而作弊会有监管机关打屁股的,因为监管部门是全生命周期的监管,所以含水份的报告其责任还是在网络安全责任主体——甲方!

网络安全等级保护:信息安全服务提供方管理要求

网络安全等级保护:信息安全服务提供方管理要求

网络安全等级保护:信息安全服务提供方管理要求

网络安全等级保护:信息安全服务提供方管理要求

网络安全等级保护:信息安全服务提供方管理要求

网络安全等级保护:信息安全服务提供方管理要求

网络安全等级保护:信息安全服务提供方管理要求

网络安全等级保护:信息安全服务提供方管理要求

网络安全等级保护:信息安全服务提供方管理要求

网络安全等级保护:信息安全服务提供方管理要求

网络安全等级保护:信息安全服务提供方管理要求

网络安全等级保护:信息安全服务提供方管理要求

网络安全等级保护:信息安全服务提供方管理要求

网络安全等级保护:信息安全服务提供方管理要求

网络安全等级保护:信息安全服务提供方管理要求

网络安全等级保护:信息安全服务提供方管理要求

网络安全等级保护:信息安全服务提供方管理要求

网络安全等级保护:信息安全服务提供方管理要求

原文始发于微信公众号(河南等级保护测评):网络安全等级保护:信息安全服务提供方管理要求

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年1月17日14:48:15
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   网络安全等级保护:信息安全服务提供方管理要求https://cn-sec.com/archives/1429073.html

发表评论

匿名网友 填写信息