两周年:“等保2.0”持续筑牢网络安全防护能力

发布时间 2021-05-13

网络安全等级保护制度是国家网络安全工作的一项基本制度。2019年5月13日,国家市场监督管理总局、国家标准化管理委员会召开新闻发布会,正式发布等保2.0“三大”核心标准,标志着等级保护正式进入2.0时代(简称“等保2.0”)。


1.png


进入等保2.0时代以来,网络安全等级保护2.0各阶段工作逐步完善、实施。为进一步推进、指导网络安全等级保护工作的开展,公安部于2020年7月研究制定了《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度指导意见》【(公网安【2020】1960号文)(下称“指导意见”)】,要求各行业、各部门结合工作实际,深入贯彻实施网络安全等级保护制度,深入推进网络安全等级保护定级备案、等级测评、安全建设和检查等基础工作。


经过两年的发展,各行业积极推动网络安全等级保护工作的开展,如各行业部委将网络安全等级保护工作纳入“网络安全和信息化工作重点”,积极推进行业内各单位等级保护工作的开展;行业等级保护基本要求、定级指南陆续发布,如2020年金融行业发布《金融行业网络安全等级保护实施指引》(JR/T 0071-2020),传媒行业发布《报业网络安全等级保护定级参考指南V2.0》等,但仍然存在一些问题,如定级不合理、等保流程不规范,保护对象不明确,安全防护能力不持续等。那么各行业究竟该如何贯彻落实网络安全等级保护制度呢?


网络安全等级保护“深入认识”


落实网络安全等级保护制度需网络安全主管部门、行业主管部门、网络运营者、网络安全服务商、网络安全等级保护测评机构等多方协同配合完成,等级保护是一项涵盖定级、备案、建设整改、等级测评和监督检查“五大规定”动作的工作,而非其中某一项或某几项,核心目的在于保护网络和信息系统安全,其中建设整改是等级保护工作的核心环节,定级备案和等级测评是辅助环节。


网络和信息系统“应定必定”


定级备案是开展网络安全等级保护工作的前提,定级合理是保障网络安全等级保护工作顺利开展的必要条件。网络运营者应积极梳理各单位网络和信息系统,科学确定网络和系统安全保护等级,做到“没定级的要定级,定级不准的重新定级”,实现“应定必定、科学监管”。


等级测评“定期开展”


等级测评是检测、发现网络和信息系统安全问题的重要手段,等级测评工作的开展可帮助用户检验安全防护能力建设的合规情况、有效指导用户开展网络安全建设整改工作。新建系统在上线验收前,应开展等级测评或自评估工作,保证系统基础安全合规,对于已运行系统,应在运行过程中,定期对定级系统进行开展自评估或等级测评工作,其中对于第三级及以上系统每年至少开展一次等级测评。


安全建设三同步


安全建设整改是网络安全等级保护工作的核心环节,对于已运行的系统在等级测评或自评估的基础上发现网络存在的安全问题,及时制定安全整改方案,保障网络安全合规。对于新建系统,落实“三同步(同步规划、同步实施、同步运行)”要求,基于网络安全等级保护“一个中心,三重防护”的安全理念,开展网络安全建设。


安全能力持续建设


筑牢网络安全能力是开展网络安全等级保护工作的目标,如何保证网络安全能力持续有效是网络安全工作的宗旨。在落实网络安全等级保护制度时,网络运营者基于网络安全等级保护基本要求建设安全防护措施,基于国家相关规定采购符合要求的安全产品或安全服务的同时应在保护对象上配置恰当的安全防护策略,确保安全防护措施落实到位,形成有效的安全防护能力,满足等级保护安全要求。


2.png


等保2.0的发布与实施,对于加强我国网络安全保障工作,提升网络安全保护能力具有十分重要意义。作为唯一全部参与等保2.0四个标准(定级指南、基本要求、测评要求、安全设计技术要求)起草单位的安全企业,启明星辰集团积极推进网络安全建设,依托于集团丰富的安全产品(边界防护类、安全检测类、安全审计类、身份认证类、终端安全类、安全管理类等)和传统安全服务,以“安全管理+安全技术”为核心,形成“专项基础安全服务”,助力各单位(组织)深入贯彻落实等级保护工作,持续提升网络和信息系统基础安全防护能力。


3.png


未来,启明星辰集团将继续秉承自主创新理念,深耕技术研究,提升自主研发能力,实现技术的创新与突破,凭借自身过硬的技术能力,依据等保2.0制度的要求,为用户提供专业的、优秀的安全产品及解决方案,更好地满足广大行业用户的需求,快速提升企业的网络安全防护水平。