![网络安全等级保护:信息安全服务提供方管理要求]( "网络安全等级保护:信息安全服务提供方管理要求")
很多从事网络安全工作的企业,都认为信息安全服务是一块大蛋糕,但是怎么吃这块蛋糕呢?
有的人是饥不择食,胡乱啃咬,不得要领。有的人则是无知者无畏,全凭自己脑海中那错误的理解,上来就是程咬金三板斧。或者说,就像上海人说的“捣糨糊”,基本上没啥技术,全凭糊弄。什么资质、什么人员、什么管理、什么技术,一概不论,反正有的是关系,啃下来再说。糊弄完一年,自然要给一年的钱。或许,在北上广以及省会城市,信息安全服务还是有很多优秀的企业的,但是一旦到了地市或者县区,那就是谁的胆大谁就能干,三脚猫都是好手的感觉。
![网络安全等级保护:信息安全服务提供方管理要求]( "网络安全等级保护:信息安全服务提供方管理要求")
曾经,有几个地市级网信办及网安民警朋友,私下问我。如果作为网络运营者,在找第三方服务时,有没有啥要求?我给他们说,信息安全服务、安全产品都有对应的资质来支撑的,而且要考虑企业综合管理和技术能力,以及人员安全能力的,自然需要有证明其具备开展相应工作的凭证要求的。
再者是,很多甲方在寻求第三方服务时,往往自己不懂容易被欺骗,又没有引入专家参与信息安全中来,各类工作开展可谓一塌糊涂。具体服务方应该如何开展工作,工作过程中应该达到什么样的要求,一概不知。比如,以我们最熟悉的等级保护为例,如果你单位需要落实等级保护,自然建设过程中满足“三同步”要求,该留的资料、该做的工作,安全服务机构和系统集成机构自然都该做了,因为这是最基本的合规。
现实则是,很多单位不得不在最后阶段才发现很多内容未满足等级保护要求,经过测评发现许多问题。此时,无论是面子还是金钱都不允许重来,又要所谓的“过”等级保护,不得已就逼着测评机构出高分报告,基本上这类高分报告是架空的报告,那么甲乙双方都有责任的。
![网络安全等级保护:信息安全服务提供方管理要求]( "网络安全等级保护:信息安全服务提供方管理要求")
回到信息安全服务,也就是在开展工作中。安全服务公司,应该比测评机构更加理解等级保护及其他国家法律法规及标准要求才行,因为网络运营者和安全服务公司答题者,而测评机构则是一个监考(兼阅卷)的老师,你一个学生不答卷或者答卷一塌糊涂,你再指望着追着监考(兼阅卷)老师要成绩,是本末倒置的。
![网络安全等级保护:信息安全服务提供方管理要求]( "网络安全等级保护:信息安全服务提供方管理要求")
作为一个成年人,都知道这叫做作弊。而作弊会有监管机关打屁股的,因为监管部门是全生命周期的监管,所以含水份的报告其责任还是在网络安全责任主体——甲方!
![网络安全等级保护:信息安全服务提供方管理要求]( "网络安全等级保护:信息安全服务提供方管理要求")
![网络安全等级保护:信息安全服务提供方管理要求]( "网络安全等级保护:信息安全服务提供方管理要求")
![网络安全等级保护:信息安全服务提供方管理要求]( "网络安全等级保护:信息安全服务提供方管理要求")
![网络安全等级保护:信息安全服务提供方管理要求]( "网络安全等级保护:信息安全服务提供方管理要求")
![网络安全等级保护:信息安全服务提供方管理要求]( "网络安全等级保护:信息安全服务提供方管理要求")
![网络安全等级保护:信息安全服务提供方管理要求]( "网络安全等级保护:信息安全服务提供方管理要求")
![网络安全等级保护:信息安全服务提供方管理要求]( "网络安全等级保护:信息安全服务提供方管理要求")
![网络安全等级保护:信息安全服务提供方管理要求]( "网络安全等级保护:信息安全服务提供方管理要求")
![网络安全等级保护:信息安全服务提供方管理要求]( "网络安全等级保护:信息安全服务提供方管理要求")
![网络安全等级保护:信息安全服务提供方管理要求]( "网络安全等级保护:信息安全服务提供方管理要求")
![网络安全等级保护:信息安全服务提供方管理要求]( "网络安全等级保护:信息安全服务提供方管理要求")
![网络安全等级保护:信息安全服务提供方管理要求]( "网络安全等级保护:信息安全服务提供方管理要求")
![网络安全等级保护:信息安全服务提供方管理要求]( "网络安全等级保护:信息安全服务提供方管理要求")
![网络安全等级保护:信息安全服务提供方管理要求]( "网络安全等级保护:信息安全服务提供方管理要求")
![网络安全等级保护:信息安全服务提供方管理要求]( "网络安全等级保护:信息安全服务提供方管理要求")
![网络安全等级保护:信息安全服务提供方管理要求]( "网络安全等级保护:信息安全服务提供方管理要求")
![网络安全等级保护:信息安全服务提供方管理要求]( "网络安全等级保护:信息安全服务提供方管理要求")
![网络安全等级保护:信息安全服务提供方管理要求]( "网络安全等级保护:信息安全服务提供方管理要求")
原文始发于微信公众号(河南等级保护测评):网络安全等级保护:信息安全服务提供方管理要求
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/1429073.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论