等级测评的地位
等级测评是我国关于信息安全的基本政策,自1994年147号令首次提出计算机信息系统实行安全等级保护,到2007年43号文确立推进等级保护相关事宜,再到2017年网络安全法正式实施,等级保护制度上升到法律高度。网络安全法律法规体系是国家网络安全保障体系的重要组成部分,维护网络安全,需充分发挥法律的强制性规范作用。《网络安全法》是网络安全工作的基础性法律框架,是一项“基本法”,其解决了以下几个问题:
明确了部门、企业、社会组织和个人的权利、义务和责任;
规定了国家网络安全工作的基本原则、主要任务和重大指导思想、理念;
将成熟的政策规定和措施上升为法律,为政府部门的工作提供了法律依据,体现了依法行政、依法治国要求;
建立了国家网络安全的一系列基本制度,这些基本制度具有全局性、基础性特点,是推动工作、夯实能力、防范重大风险所必需。
等级保护制度作为国家网络安全的一项基本制度,其从整个信息和网络系统全局出发,强化夯实网络安全防护能力,尽可能地规避等级保护对象可能面临的风险。等级测评是等级保护的核心工作,是具有法律意义的一项工作,岂能讲“等保测评不重要”呢?
等保测评体系
等级测评基本要求维持安全技术+安全管理的体系模式,从技术和管理两个维度提出相应的安全要求,保障网络和信息系统尽可能地安全。等级保护技术层面从等保1.0“分层防护、纵深防御”的体系到等保2.0“一个中心、三重防护”的纵深防御体系也是在吸收国际网络安全先进安全体系和安全理念。等级保护系列标准成体系化,2019年等级保护基本要求、设计要求、测评要求三大标准同时发布、同步执行,将等级保护工作与“三同步”融合,即在信息系统的“规划、建设、运营/使用”三阶段生命周期,形成等级保护与“三同步”的结合点。在网络和信息系统上线前后基于等级测评可发现其存在的安全隐患,及时整改,保证系统上线后安全、稳定、合规的运行。等级保护整个体系涉及面广,基本涵盖网络安全所需的各项能力。
测评机构认定未来是谁来认定?
网络安全等级测评机构此次是由公安部第三研究所认证发放的,通知里明确说了公安部第三研究所是由国家认证认可委员会批准的认证机构。未来国家认证认可委员会会不会批准其他认证机构呢? 这个应该是有很大可能的,就像27001认证一样。
定级备案的受理单位是否有变化?
在没有明确通知的情况下,系统定级备案工作还是去各地公安机关网安部门去办理。这次只是测评机构认证改革,并没有涉及到定级备案的事。
网安部门对等保工作还监管吗?
系统的定级备案工作由各地公安网安部门负责,所以公安网安部门对等保工作肯定还是监管的,测评机构资质这块与公安网安部门无关,是国家认证认可委员会的工作。
测评机构是否有区域限制?
目前全国各地测评机构整体以区域测评机构为主,在本省开展业务,主要原因是各地政策不一样,去外省开展业务有一定条件限制。当然之前主管部门从来没有限制过测评机构去外地,甚至是想让更多测评机构走向全国的。那么测评机构认证划到国家认证认可委员来管理认证的话,应该会有更多测评机构走向外省,走向全国。
以上就是等保测评小编为大家整理与分享等保测评的那些事!每周、每月都会不断更新一些等保测评方面的知识分享给大家。如果您觉得以上内容对您有帮助,可以点个赞,也可以分享给更多的朋友们。
