首页 > 新闻动态> 等级保护测评的必要性和方法
等级保护测评的必要性和方法
2023-04-10


等级保护是一种对国家重要信息、法人和其他组织及公民的专有信息以及信息和存储、传输、处理这些信息的信息系统进行分级别的安全保护的制度,同时也对信息系统中使用的信息安全产品进行分级别的管理,以及对信息系统中发生的信息安全事件进行分级别的响应、处置。等级保护是我国网络安全的基本制度,也是网络安全法的核心内容。


一、为什么要做等级保护测评

做等级保护测评有以下几个原因:

1. 法律法规的要求。

网络安全法第21条规定“国家实行网络安全等级保护制度”,要求“网络运营者应当按照网络安全等级保护制度要求,履行安全保护义务”;第31条规定“对于国家关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护”。《网络安全等级保护管理条例(征求意见稿)》第22条规定“新建的第二级网络上线运行前应当按照网络安全等级保护有关标准规范,对网络的安全性进行测试。新建的第三级以上网络上线运行前应当委托网络安全等级测评机构按照网络安全等级保护有关标准规范进行等级测评,通过等级测评后方可投入运行”。因此,做等级保护测评是遵守法律法规的必要条件。

2. 保障信息系统的安全性。

做等级保护测评可以帮助信息系统运营者发现和整改安全风险隐患,提高信息系统的安全防护能力,有效应对各种网络攻击和威胁,防止数据泄露、篡改、丢失或损毁,维护国家安全、社会秩序、公共利益以及相关公民、法人和其他组织的合法权益。

3. 适应新技术的发展。

随着云计算、大数据、物联网、移动互联以及人工智能等新技术的发展,信息系统的形态和功能不断变化,面临着更加复杂和多样化的网络安全风险。做等级保护测评可以帮助信息系统运营者及时更新和完善安全措施,适应新技术带来的挑战和机遇。


二、不做等级保护测评的危害

不做等级保护测评可能会导致以下危害:

1. 违反法律法规。

不做等级保护测评可能会违反《网络安全法》和《网络安全等级保护管理条例(征求意见稿)》等相关法律法规,受到监管部门的处罚或责令整改。

2. 损害信息系统的安全性。

不做等级保护测评可能会导致信息系统存在安全漏洞或缺陷,无法及时发现和修复,容易被黑客或恶意软件攻击,造成数据泄露、篡改、丢失或损毁,影响信息系统的正常运行和服务质量,甚至危及国家安全、社会秩序、公共利益以及相关公民、法人和其他组织的合法权益 。

3. 落后于新技术的发展。

不做等级保护测评可能会导致信息系统无法适应云计算、大数据、物联网、移动互联以及人工智能等新技术的发展,无法充分利用新技术带来的优势和机遇,失去市场竞争力和创新能力 。


三、怎么开展等级保护测评

开展等级保护测评需要遵循以下步骤:

1. 确定定级对象。

根据《网络安全等级保护定级指南》,确定需要进行等级保护测评的信息系统,包括其主要安全责任主体、承载的业务应用和包含的资源要素 。

2. 确定安全保护等级。

根据《网络安全等级保护基本要求》,根据信息系统在国家安全、经济建设、社会生活中的重要程度,以及其一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益以及相关公民、法人和其他组织的合法权益的危害程度等因素,确定信息系统的安全保护等级,分为一级至五级 。

3. 完成定级备案。

根据《网络安全等级保护管理条例(征求意见稿)》,对拟定为第二级以上的信息系统,其运营者应当组织专家评审;有行业主管部门的,应当在评审后报请主管部门核准。第二级以上信息系统运营者应当在信息系统的安全保护等级确定后10个工作日内,到县级以上公安机关备案。

4. 完成安全建设整改。

根据《网络安全等级保护基本要求》和《网络安全等级保护通用要求》以及相关扩展要求,按照信息系统的安全保护等级,采取相应的管理和技术措施,对信息系统进行安全建设整改,消除或降低安全风险隐患 。

5. 委托测评机构进行等级测评。

根据《网络安全等级保护管理条例(征求意见稿)》,新建的第二级信息系统上线运行前应当按照网络安全等级保护有关标准规范,对信息系统的安全性进行测试。新建的第三级以上信息系统上线运行前应当委托网络安全等级测评机构按照网络安全等级保护有关标准规范进行等级测评,通过等级测评后方可投入运行。

6. 测评的标准和方法。

根据《网络安全等级保护测评指南》,网络安全等级测评应当遵循以下原则:

  • 客观性原则。网络安全等级测评应当客观、公正、科学地对信息系统的安全性进行评价,不受任何利益或情感的影响,不偏袒或歧视任何一方。
  • 全面性原则。网络安全等级测评应当全面、系统地覆盖信息系统的所有安全要素,包括管理和技术两个方面,不遗漏或忽视任何一个环节或要求。
  • 有效性原则。网络安全等级测评应当有效地反映信息系统的真实安全状况,不虚报或隐瞒任何问题或风险,不过分或轻微地评价信息系统的安全性。
  • 可操作性原则。网络安全等级测评应当采用可操作、可实施、可验证的方法和手段,不使用过于复杂或难以执行的方法和手段,不提出过于苛刻或难以达到的要求。


四、网络安全等级测评主要包括以下步骤:

1. 测评准备。

包括签订测评合同,确定测评范围、目标、计划、方法、资源等,收集和分析相关资料和证据,制定测评方案和测试用例等。

2. 测评实施。

包括执行测试用例,收集和分析测试结果,发现和记录问题和风险,提出改进建议和措施等。

3. 测评报告。

包括编写测评报告,对信息系统的安全性进行综合评价,给出测评结论和意见,提交测评报告并获取确认签字等。


五、总结

等级保护测评是我国网络安全的基础制度,也是网络运营者履行法律法规要求和保障信息系统安全性的必要条件。做好等级保护测评需要遵循相关标准规范和指导意见,按照确定定级对象、确定安全保护等级、完成定级备案、完成安全建设整改、委托测评机构进行等级测评等步骤进行。通过等级保护测评,可以及时发现和整改信息系统存在的安全风险隐患,提高信息系统的安全防护能力,有效应对各种网络攻击和威胁,防止数据泄露、篡改、丢失或损毁,维护国家安全、社会秩序、公共利益以及相关公民、法人和其他组织的合法权益。


————————————————————————————  安证集团概述  ————————————————————————————

深圳市安证企业合规管理(集团)有限公司(以下简称“安证合规集团”)是“科技+法律”一体化网络安全合规解决方案提供商,业务范围涵盖网络安全服务、证据服务以及数据治理三大领域,具有丰富的IT合规咨询与评估、网络安全、证据服务、IT审计、安全培训以及法律服务等全方位合规服务经验,是集标准制定、前瞻性技术研究、合规管理平台研发及方案实现于一体的国内优选的IT合规服务企业。

多年来,安证合规集团始终坚持“责任、创新、进取”的企业精神,累计服务了政府、企事业单位、电信运营商、金融机构、大型民企等4000余家客户。积极参与社会公共安全公益服务,自主研发的多个平台分别入选国家工信部、广东省工信厅助力社会发展专项名录。多次参与国家重大活动网络安保工作,主要包括建党100周年网络安保活动、十八大、十九大、二十大、博鳌论坛、香港回归20周年庆/25周年庆、广交会以及部省市三级护网行动等重大活动,并获得相关部门的高度好评。其中,护网工作荣获“公安部护网优秀攻击团队”、“公安部网络安全管理优秀团队”的荣誉称号。