运营者|网络安全等级保护是网络安全工作的基本方法_

文章插图
信息安全等级保护是信息安全保障工作的基本方法（等级保护1.0）信息安全等级保护是国家信息安全保障工作的基本方法。等级保护制度提出了一整套安全要求，贯穿系统设计、开发、实现、运维、废弃等系统工程的整个生命周期，引入了测评技术、风险评估、灾难备份、应急处置等技术。按照等级保护制度中规定的五个动作“定级、备案、建设、测评、检查”，各单位各部门开展信息安全工作，先对所属信息系统(包括信息网络)开展调查摸底、梳理信息系统，再对信息系统定级，定级后二级以上系统到公安机关备案，然后按标准进行安全建设整改，开展等级测评。公安机关按照系统级别实施不同强度的监管，对进入重要信息系统的测评机构以及信息安全产品分等级进行管理，对信息安全事件分等级响应和处置。经过一系列工作的开展，将信息安全保障工作落到了实处。

文章插图
网络安全等级保护是网络安全工作的基本方法（等级保护2.0）网络安全等级保护是国家网络安全工作的基本方法。网络安全等级保护工作的目标就是维护国家关键信息基础设施安全，维护重要网络设施、重要信息系统、重要数据的安全。等级保护制度提出了一整套安全要求，贯穿网络和信息系统的设计、开发、实现、运维、废弃等系统工程的整个生命周期，引入了测评技术、风险评估、灾难备份、应急处置等技术。按照等级保护制度中规定的“定级、备案、建设、测评、检查”这五个规定动作，各单位、各部门开展网络安全工作，先对所属网络、信息系统和数据开展调查摸底，再对网络进行定级。定级后，第二级以上网络要到公安机关备案，然后按标准进行安全建设整改，开展等级测评。公安机关对网络安全工作开展监督管理，按照不同的网络级别实施不同强度的监管，对进入重要信息系统的测评机构及信息安全产品分等级进行管理，对网络安全事件分等级响应和处置。通过开展一系列重点工作，采取一系列重要的安全管理和技术措施，将网络安全工作落到实处。【运营者|网络安全等级保护是网络安全工作的基本方法】

文章插图
从上面描述我们知道了，等级保护制度提出了一整套安全要求，贯穿网络和信息系统的设计、开发、实现、运维、废弃等系统工程的整个生命周期，引入了测评技术、风险评估、灾难备份、应急处置等技术。从中我们看到等级保护制度所提出的一整套安全要求是贯穿了一个网络和信息系统整个生命周期每一个阶段。正因为等级保护制度有一整套安全要求，所以在等级保护工作开展中，无论是哪一个环节，都要明白“汝果欲学诗，功夫在诗外”这个道理，因为每个环节工作在开展中看似孤立，其实是彼此相辅相成紧密联系的，如系统设计阶段你不考虑等级保护相关国家标准的要求，那么在测评阶段你就很难满足等级保护测评国家标准的要求，进而影响客户在等级保护中的结论或结果，同时为用户带来安全合规性和网络安全双重风险。同样，在测评环节不理解设计环节通过何种手段实现相关要求，测评的客观公正性也必然大打折扣。网络运营者需要充分理解等级保护的“五个规定动作”，力求做到“三同步”。其中定级、备案、建设是网络运营者的责任，在这个三个环节中可以寻求测评机构以及具有提供相关咨询服务能力的安全企业的服务，以期在定级、备案、建设等环节能够同步满足并落实等级保护相关国家标准。在测评环节，测评机构参与度加大，与网络运营者配合完成等级测评工作，如果前期工作开展非常好，则等级测评阶段工作开展也将非常顺利。检查环节属于公安机关主导的工作，全线贯穿整个等级保护工作，我们看到公安机关检查就比较全面，对网络运营者、测评机构、安全服务商及安全产品等都进行监督管理。