深入贯彻实施网络安全等级保护制度

核心提示本期关键词:监督检查、迎检、等级保护对象、网络安全等级保护前面我们将运行和维护看了一遍,在上一个工作重点中,没有谈及监督检查,实则因为该部分内容是等级保护管理部门之职责,本想单独写成一篇。故未在“安全运行与维护”进行体现。今天,特就此絮叨一

本期关键词:监督检查、迎检、等级保护对象、网络安全等级保护。

我们之前已经回顾了操作和维护。上一个焦点,我们没有讲监督检查。其实因为这部分是分级保护管理部门的责任,所以我们想单独写一篇。所以没有体现在“安全运维”上。今天我就来漫谈一下这个内容。

公安机关每年进行监督检查。在去年公安机关的监督检查中,有很多单位做了其他评估机构的等级保护评估。他们问我监督检查自查表怎么填。

我告诉他们“如实填写”!

今天学习《网络安全等级保护实施指南》和《网络安全法与网络安全等级保护2018版教程》,一起探讨监督检查:

监督检查工作由分级保护管理部门实施。其实前面我也用微信官方账号《网络安全等级保护:等级保护测评、等级保护测评、密码保护测评的关系》来解释等级保护和等级保护测评这两个概念的异同。这里主要侧重于公安机关的监督检查。

监督检查阶段需要输入,包括但不限于安全等级评价报告、备案材料、自检报告等。等级保护管理部门和主管部门应当根据国家网络安全等级保护和行业监管要求,制定监督检查计划和表格;运营使用单位应当根据网络安全防护等级监督检查和行业监管的规范或者标准,准备相应的监督检查所需材料。等级保护管理部门应当根据等级保护对象分级、规划设计、建设实施和运行管理等方面的监督检查要求进行监督检查。最后由监督部门输出监督检查材料、监督检查结果报告等。

主管部门、运营使用单位需要准备相应的监督检查材料,配合等级保护管理部门进行检查,确保等级保护对象符合相应等级的安全保护要求。

首先,在作为网络运营者接受公安机关监督检查的过程中,自查阶段自然与前文所说的自查和持续改进密切相关,两者相辅相成,密不可分。因为,自查和持续改进的目标是建立在已经存在的隐患之上的,最终风险是可以控制的,网络安全是可以达到预期目的的。与公安机关监督检查的最终要求是一致的,我们工作的目标也是一致的。我们所从事或参与的一切工作,都是为了通过手段实现网络安全的固有善。

这一阶段的工作由主管部门、运营使用单位、等级保护管理部门共同完成。

以上是对监督检查概况的描述。下面是更详细的监督检查说明:

监督检查:备案单位、行业主管部门和公安机关要分别建立和落实监督检查机制,定期对网络安全法和网络安全等级保护制度要求的落实情况进行自查和监督检查。在此过程中,公安机关形成了较为完善的监督检查机制,并已实施多年,相关工作已成常态。

监督检查分为定期自查和监督检查、公安机关监督检查两大阶段。第一阶段可分为备案单位定期自查和行业主管部门监督检查;第二阶段可分为检查的原则和方法、检查的主要内容、检查的整体要求、检查工作的要求、事件的调查。

备案单位定期自查:该流程要求备案单位依据《网络安全法》和《网络安全等级保护制度》对网络安全工作和等级保护工作的落实情况进行自查,掌握网络安全情况、安全管理制度和技术保护措施的落实情况等。,及时发现安全隐患和突出问题,采取有针对性的技术和管理措施。

三级网要求每年自查。自查结束后,如果网络安全状况不符合安全防护等级要求,网络运营企业需要进一步进行安全建设整改。所以上次我说,很多单位私信问我为什么“过了待岗险”,公安机关也要求整改。其实他们已经在这里要求整改了。即“过保”不仅仅是评估或备案,而是对过保政策的不断执行,从技术措施和管理措施上不断加强保护。这就是“过保”!“过保”如同“过日子”,终点是下一章微信官方账号的废除讨论。

整改不能简单理解为公共安全的要求,而应理解为信息系统安全现状与等级保护相关要求差距的要求、系统本身安全风险的要求、网络安全的要求。

此外,要求网络经营者积极配合公安机关的监督检查工作,如实提供相关资料和文件。当网络上发生事件或案件时,立案单位也需要及时向受理立案的公安机关报告。

行业主管部门监督检查:这属于需要行业主管部门进行的工作。行业主管部门应当组织制定本行业、本领域的网络安全等级保护工作计划和标准规范,掌握网络基本情况、分级备案、安全保护状况;监督网络运营企业开展网络分级备案、等级评估、风险评估、安全建设整改、安全自查等工作。

行业主管部门监督、检查、指导本行业、本领域网络运营者按照网络安全等级保护制度和相关标准的要求,落实网络安全管理和技术保护措施,组织开展网络安全防范、网络安全事件应急处置和重大活动网络安全保护等工作。

下面结合网络安全法和网络安全等级保护,简单谈谈公安机关的监督检查工作:

检查的原则和方法:公安机关依据国家法律法规和相关标准的规定,对网络运营者落实网络安全等级保护制度、网络安全防范、网络安全事件应急处置、重大活动网络安全等情况进行监督管理;三级以上网络运营者应当按照网络安全等级保护制度,落实网络基础设施安全、网络运行安全和数据安全保护的责任和义务,实施重点监督管理。

公安机关按照国家法律法规的规定和相关标准的要求,对同级行业主管部门进行监督、检查和指导,组织督促本行业、本领域落实网络安全等级保护制度,开展网络安全防范、网络安全事件应急处置、重大活动网络安全保障。

公安机关参照公安部网络安全保卫局发布的《公安机关网络安全执法检查指南》和《政府信息系统和网站执法检查指南》开展网络安全执法检查。公安机关网络将由常规检查向深度检查、延伸检查、闭环检查转变,充分运用对抗检查、技术检查等方式,检查重要信息系统、重点网站以及移动互联网、云计算、大数据、工业控制系统、物联网等新技术新应用的安全防护能力。

检查的主要内容:公安机关依法对网络安全工作进行监督检查,包括但不限于以下内容:

第一,日常网络安全工作。

二是重大网络安全隐患整改。

第三,重大网络安全事件的应急响应和恢复。

第四,实施重大活动网络安全。

第五,其他网络安全工作。

这里插一句,以上检查内容的第一项是日常的网络安全防范工作,也就是在实施等级保护工作的过程中,平时只是为了评价是下不了功夫的,是“务虚”而不是“务实”。当然,公安机关会对退的单位进行训诫或处罚。

公安机关每年至少对三级以上网络经营者的日常网络安全工作进行一次安全检查。检查,可与有关行业主管部门共同进行。当然,公安机关认为有必要时,也会组织技术支持团队进行网络安全技术检测。

在公安机关依法实施监督检查过程中,要求网络经营者和行业主管部门协助、配合公安机关依法实施监督检查,并按照公安机关的要求提供相关数据和资料。

检查要求:公安机关在监督检查中发现网络安全风险隐患的,告知网络经营者立即采取措施予以消除;不能及时消除的,责令限期整改。对国家安全、公共安全和社会公共利益构成威胁的,公安机关还将依法采取停止联网、停机整顿等措施。

检查要求:公安机关开展检查工作,应当遵循“严格依法、热情服务”的原则,遵守检查纪律,规范检查程序,积极热情地为网络经营者提供服务和指导。

当然,也要求网络安全等级保护监督管理部门及其工作人员必须对在履行职责中知悉的国家秘密、商业秘密、重要敏感信息和个人信息严格保密,不得泄露、出售或者非法提供给他人。

事件调查:公安机关将根据有关规定处理网络安全事件,开展事件调查,认定事件责任,查处危害网络安全的违法犯罪活动。

必要时,公安机关将责令网络运营者采取阻断信息传输、暂停网络运行、备份相关数据等紧急措施。

当然,作为网络运营者,应当为公安机关和相关部门开展事件调查处置提供支持和协助,为公安机关和国家安全机关维护国家安全、依法查处犯罪提供技术支持和协助。

对网络服务机构的监督管理:公安机关对网络安全等级保护测评机构的监督管理是落实测评的各个环节。公安机关对网络安全等级保护测评机构、测评人员及其测评活动进行监督管理,发现违规行为将责令整改;情节严重的,将从等级保护评价机构名录中删除。

公安机关依法对评级机构及其人员进行监督管理,发现有违规行为的,要求整改;情节严重的,还将从评级保护评价机构名录中除名。

公安机关对从事网络建设、运行维护、安全监测、检测认证、风险评估等网络服务机构、服务人员及其服务活动进行监督管理。如果发现有违反管理规定的行为,将责令其整改,并对关键岗位的服务人员进行安全背景调查。

即公安机关对整级保护工作的每一个环节都进行监管,无论哪个环节,公安机关都有依法处罚的权力。所以等级保护工作是一项正常的工作,不存在一劳永逸的事情,更不可能指望一次测评就万事大吉。抱着枕头睡觉是不现实的。一旦发生安全事故,单位和个人都需要承担责任。

公安机关对网络经营者的监督检查是一项每年都有的常态工作,是一项年年有、年年有、年年有新的常态工作。只有在日常工作中,网络安全防护工作才能扎实开展,安全主管部门的监督检查才能轻松应对。要做好工作,就得有好脸色,而不是应付工作。这样一来,检查还是会有很多漏洞,也违背了如实提供材料的原则,所以你也需要承担责任。

网络安全的发展最终离不开“诚”和“实”来实现“真”的网络安全!落实网络安全等级保护制度,采取有效安全防护措施,做好安全运行维护,认真开展自查、查漏补缺,如实向监管机构提供监督检查信息。这是正确履行责任,降低安全风险和安全责任的最佳方式。

如果从《网络安全等级保护:各方如何参与分级与备案工作》来看这个微信官方账号,基本上这就是过级的大致过程,在实施等级保护的整个过程中,评估是必不可少的,但如果没有这种整体实施同等保护的扎实工作过程,评估结果不可能是理想的。有句话叫“莫问收割,但要求收获”,虽然是儒家的心态。但是,只要工作生活方向正确,理论上自然收获不会差。然而,如果莫问耕种,但要求收获,它只能是稗子和谷壳的收获。

让我们一起为祖国的网络安全尽一份力吧!

参考文件:

信息安全技术网络安全等级保护分级指南GB/T 22240-2020信息安全技术网络安全等级保护基本要求GB/T 2239-2019信息安全技术网络安全等级保护实施指南GB/T 25058-2019信息安全技术网络安全等级保护安全设计技术要求GB/T 25070-2019

网络安全等级保护:如何设计和实施网络安全

网络安全等级保护:如何做好网络安全运维

网络安全等级保护:如何做好整体网络安全规划

网络安全等级保护:各方如何参与分级备案?

 
友情链接
鄂ICP备19019357号-22