2021年08月23日
一、開展網絡安全等級保護工作
運營者需要及時開展網絡安全等級保護工作,關鍵信息基礎設施等保級別是三級及以上,同時要采取相應技術保護措施和其他必要措施,防范網絡攻擊,保障關基的安全。等保是做好關基工作的基礎,基礎都沒做,這項工作一定沒做好。
依據:第六條運營者依照本條例和有關法律、行政法規的規定以及國家標準的強制性要求,在網絡安全等級保護的基礎上,采取技術保護措施和其他必要措施,應對網絡安全事件,防范網絡攻擊和違法犯罪活動,保障關鍵信息基礎設施安全穩定運行,維護數據的完整性、保密性和可用性。
二、制定行業關鍵信息基礎設施認定規則,認定本行業關鍵信息基礎設施
保護工作部門需要結合本行業的實際情況,首先要制定關鍵信息基礎設施認定規則,并報國務院公安部門備案;根據認定規則負責組織認定本行業、本領域的關鍵信息基礎設施,及時將認定結果通知運營者,并通報國務院公安部門。做好關基的保護工作,首要目標肯定是先明確哪些是關基,這樣我們才好有針對性地做好保護工作。這里需要解釋下什么是保護工作部門?保護工作部門就是:涉及的重要行業和領域的主管部門、監督管理部門,比如國家能源局、交通部、水利部等。
依據:第九條 保護工作部門結合本行業、本領域實際,制定關鍵信息基礎設施認定規則,并報國務院公安部門備案。
制定認定規則應當主要考慮下列因素:
(一)網絡設施、信息系統等對于本行業、本領域關鍵核心業務的重要程度;
(二)網絡設施、信息系統等一旦遭到破壞、喪失功能或者數據泄露可能帶來的危害程度;
(三)對其他行業和領域的關聯性影響。
第十條 保護工作部門根據認定規則負責組織認定本行業、本領域的關鍵信息基礎設施,及時將認定結果通知運營者,并通報國務院公安部門。
三、安全保護措施需落實“三同步”
在關鍵信息基礎設施建設的過程中需要同步規劃、同步建設、同步使用其相應的安全保護措施,確保關基的安全穩定運行,以后我們可不能只想著先把關基建設好,而不同步建設相應的安全保護措施,需要及時購買相應的網絡安全設備以及相應的網絡安全服務,如等保、密評、軟件測試及其他第三方安全服務等。
依據:第十二條 安全保護措施應當與關鍵信息基礎設施同步規劃、同步建設、同步使用。
四、關基保護需保障人、財、物的投入
運營者應當建立健全網絡安全保護制度和責任制,保障人力、財力、物力投入。運營者的主要負責人對關鍵信息基礎設施安全保護負總責。同時要建立專門的安全管理機構及人員,對網絡安全工作具體負責。所以對于具體負責網絡安全管理工作的部門及人員需要及時將網絡安全工作向單位的主要負責人(黨委書記、一把手)進行匯報,積極爭取人力、財力、物力的投入,如果他不支持,一定要告訴他:運營者的主要負責人對關鍵信息基礎設施安全保護負總責。一哥還不信哪個領導會不重視這項工作?重視網絡安全工作千萬不能停留在口頭上重視,而行動上不重視的路上。
依據:第十三條 運營者應當建立健全網絡安全保護制度和責任制,保障人力、財力、物力投入。運營者的主要負責人對關鍵信息基礎設施安全保護負總責,領導關鍵信息基礎設施安全保護和重大網絡安全事件處置工作,組織研究解決重大網絡安全問題。
第十四條 運營者應當設置專門安全管理機構,并對專門安全管理機構負責人和關鍵崗位人員進行安全背景審查。審查時,公安機關、國家安全機關應當予以協助。
第十六條 運營者應當保障專門安全管理機構的運行經費、配備相應的人員,開展與網絡安全和信息化有關的決策應當有專門安全管理機構人員參與。
五、每年至少開展一次網絡安全風險檢測
運營者每年自行或者委托專業的第三方網絡安全服務機構至少對關基進行一次的網絡安全檢測和風險評估,這里的檢測可以確定肯定不是等保測評,具體如何進行檢測目前相關部門正在制定檢測標準,一旦標準完成后將依據標準進行相應檢測,同時對發現的問題還需要及時整改。一哥認為這里的網絡安全檢測和風險評估是同一件事,這里的風險評估不是狹義上的風險評估服務,而是風險識別與檢測的意思,這個推測僅供參考,不作為標準答案,也就是未來關鍵單位只需要做一次針對關基的網絡安全檢測就可以了,而不是要分別做這兩件事。
依據:第十七條 運營者應當自行或者委托網絡安全服務機構對關鍵信息基礎設施每年至少進行一次網絡安全檢測和風險評估,對發現的安全問題及時整改,并按照保護工作部門要求報送情況。
六、優先采購安全可信的網絡產品和服務
運營者應當優先采購安全可信的網絡產品和服務;什么是安全可信的網絡產品和服務呢?一哥認為:信息技術應用創新發展中相關的網絡產品是滿足要求的,那么沒入選的怎么辦?至少相關產品需要通過國內權威機構的第三方檢測,獲取相應許可證,如銷售許可證、涉密許可證、密碼產品許可證等;那么可信的服務呢?這個基本條件至少是相應的服務機構需要有網絡安全主管部門或者權威的第三方頒發的相應服務能力認可證書,而不是隨隨便便選擇一家服務機構,這不可信。
依據:第十九條 運營者應當優先采購安全可信的網絡產品和服務;采購網絡產品和服務可能影響國家安全的,應當按照國家網絡安全規定通過安全審查。
七、采購網絡和服務需簽訂安全保密協議
運營者需要與采購的網絡產品或服務提供方及時簽訂安全保密協議,明確提供者的技術支持和安全保密義務與責任,并對義務與責任履行情況進行監督。這個在服務中可能還好些,基本有簽訂,但是在采購網絡產品過程中,好像很多單位都沒有簽單類似協議,大家需要注意,及時簽訂保密協議。
依據:第二十條 運營者采購網絡產品和服務,應當按照國家有關規定與網絡產品和服務提供者簽訂安全保密協議,明確提供者的技術支持和安全保密義務與責任,并對義務與責任履行情況進行監督。
八、建立健全本行業網絡安全監測預警機制
保護工作部門應當建立健全本行業、本領域的關鍵信息基礎設施網絡安全監測預警制度,落實相應預警監測的技術措施,光有制度沒有手段去實現肯定也不行,空中起高樓,那是幻想,通過網絡安全監測預警的相應制度來及時掌握本行業、本領域關鍵信息基礎設施運行狀況、安全態勢情況,做好預警與防范工作。
依據:第二十四條 保護工作部門應當建立健全本行業、本領域的關鍵信息基礎設施網絡安全監測預警制度,及時掌握本行業、本領域關鍵信息基礎設施運行狀況、安全態勢,預警通報網絡安全威脅和隱患,指導做好安全防范工作。
九、建立本行業的網絡安全事件應急預案,并定期演練
保護工作部門需要建立健全本行業、本領域的網絡安全事件應急預案,并且定期組織應急演練,指導運營者做好網絡安全事件應對處置。所以網絡安全事件應急演練這項工作對于有關基設施的單位來說一定要實實在在地去做,而不是為了完成任務而做。記住,你們是關基單位,要提高政治站位,加強重視程度,踏實做好該做的工作。
依據:第二十五條 保護工作部門應當按照國家網絡安全事件應急預案的要求,建立健全本行業、本領域的網絡安全事件應急預案,定期組織應急演練;指導運營者做好網絡安全事件應對處置,并根據需要組織提供技術支持與協助。
十、定期開展本行業關基的網絡安全檢查
行業主管監督部門應當定期組織開展本行業、本領域關鍵信息基礎設施網絡安全檢查檢測,那么檢查必定得是專業性的網絡安全的檢查,不然怎么能查出安全問題呢?又怎么去指導與監督運營者及時整改安全隱患、完善安全措施呢?那么這樣的行業網絡安全檢查,最好要聯合專業的第三方公司一起去檢查,這樣才能更好的落實本項工作。
依據:第二十六條 保護工作部門應當定期組織開展本行業、本領域關鍵信息基礎設施網絡安全檢查檢測,指導監督運營者及時整改安全隱患、完善安全措施。
最后《關鍵信息基礎設施安全保護條例》將于2021年9月1日起施行,也就還剩一周多一點的時間,大家對照著,該開展的抓緊開展吧,今年想開展沒經費的,抓緊把相關預算做到明年預算里。
江蘇國駿-打造安全可信的網絡世界
為IT提升價值
http://www.jewellerybykaren.com/
免費咨詢熱線:400-6776-989
關注公眾號
獲取免費咨詢和安全服務