網(wǎng)絡(luò)安全等級(jí)保護(hù)實(shí)踐交流會(huì)-2024

++“網(wǎng)絡(luò)安全等級(jí)保護(hù)測評(píng) ”等保輔導(dǎo)工作實(shí)踐（網(wǎng)安小蜂隊(duì)）415全民國家安全教育日等保工作法律依據(jù)－網(wǎng)絡(luò)安全法?《網(wǎng)絡(luò)安全法》第二十一條：國家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求，履行下列安全保護(hù)義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改：?第五十九條：網(wǎng)絡(luò)運(yùn)營者不履行本法第二十一條、第二十五條規(guī)定的網(wǎng)絡(luò)安全保護(hù)義務(wù)的，由有關(guān)主管部門責(zé)令改正，給予警告；拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處一萬元以上十萬元以下罰款，對(duì)直接負(fù)責(zé)的主管人員處五千元以上五萬元以下罰款。信息安全等級(jí)保護(hù)管理頒發(fā)二級(jí)系統(tǒng)等保測試依據(jù)等保工作法律依據(jù)－網(wǎng)絡(luò)安全法?《刑法》第二百八十六條之一：【拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪】網(wǎng)絡(luò)服務(wù)提供者不履行法律、行政法規(guī)規(guī)定的信息網(wǎng)絡(luò)安全管理義務(wù)，經(jīng)監(jiān)管部門責(zé)令采取改正措施而拒不改正，有下列情形之一的，處三年以下有期徒刑、拘役或者管制，并處或者單處罰金：?（一）致使違法信息大量傳播的；?（二）致使用戶信息泄露，造成嚴(yán)重后果的；?（三）致使刑事案件證據(jù)滅失，情節(jié)嚴(yán)重的；?單位犯前款罪的，對(duì)單位判處罰金，并對(duì)其直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員，依照前款的規(guī)定處罰。?有前兩款行為，同時(shí)構(gòu)成其他犯罪的，依照處罰較重的規(guī)定定罪處罰。不做等保就是違法網(wǎng)絡(luò)安全法與等級(jí)保護(hù)二者關(guān)系淺析國第一部全面規(guī)范網(wǎng)絡(luò)空間安全管理方面問題的基是依法治網(wǎng)、化解網(wǎng)絡(luò)風(fēng)險(xiǎn)的法律重器，是讓互聯(lián)網(wǎng)在法治軌道上健康運(yùn)行的重要保障。該法的發(fā)布等保工作對(duì)企業(yè)的意義維護(hù)單位良好的形象位信息系統(tǒng)存在的安全隱患和不足，進(jìn)行安全整改之后，提高信息系統(tǒng)的信統(tǒng)被各種攻擊的風(fēng)險(xiǎn)。等級(jí)保護(hù)是我國關(guān)于信息安全國家法律法規(guī)、相關(guān)政策制度要求單位開展等級(jí)保護(hù)工作，如《信息安全等33合理規(guī)避風(fēng)險(xiǎn)落實(shí)個(gè)人及單位的網(wǎng)絡(luò)安基本義務(wù)。不允許分包、轉(zhuǎn)包、代理等保測評(píng)項(xiàng)目?《網(wǎng)絡(luò)安全等級(jí)保護(hù)測評(píng)機(jī)構(gòu)管理辦法》第十五條：測評(píng)機(jī)構(gòu)應(yīng)與被測評(píng)單位簽?第四十四條：測評(píng)機(jī)構(gòu)有下列情形之一的，等保辦應(yīng)取消其推薦證書，并向社會(huì)公不允許分包、轉(zhuǎn)包、代理等保測評(píng)項(xiàng)目?第二十九條：測評(píng)機(jī)構(gòu)有下列情形之一的，等保辦責(zé)令其限期整改；情形嚴(yán)重的，責(zé)令整改等保測評(píng)中的“一條龍一站式現(xiàn)象”加強(qiáng)等保制度學(xué)習(xí)加強(qiáng)等保制度學(xué)習(xí)，提升認(rèn)知免疫力如何尋找靠譜合適的等保測評(píng)機(jī)構(gòu)？/尋找聯(lián)系方式如何尋找靠譜合適的等保測評(píng)機(jī)構(gòu)？/查看測評(píng)機(jī)構(gòu)的人員規(guī)模如何尋找靠譜合適的等保測評(píng)機(jī)構(gòu)？/追溯測評(píng)人員的身份如何尋找靠譜合適的等保測評(píng)機(jī)構(gòu)？/查詢網(wǎng)專產(chǎn)品認(rèn)證的有效性等保測評(píng)機(jī)構(gòu)認(rèn)證合同直簽測評(píng)機(jī)構(gòu)認(rèn)定未來是誰來認(rèn)定?網(wǎng)絡(luò)安全等級(jí)測評(píng)機(jī)構(gòu)此次是由公安部第三研究所認(rèn)證發(fā)放的，通知里明確說了公安部第三研究所是由國家認(rèn)證認(rèn)可委員會(huì)批準(zhǔn)的認(rèn)證機(jī)構(gòu)。全國測評(píng)機(jī)構(gòu)的原務(wù)當(dāng)前全國測評(píng)機(jī)構(gòu)均由公安部第三研究所進(jìn)行管理和認(rèn)證?！竦燃?jí)保護(hù)制度25年演變史《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》第九條規(guī)定，計(jì)算機(jī)信息系統(tǒng)試行安全等級(jí)保護(hù)。2008-2012年2008-2012年等保1.0核心標(biāo)準(zhǔn)相繼發(fā)布2017-2018年2017-2018年《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例（征求意見稿）》相繼發(fā)布2007年2007年《信息系統(tǒng)安全等級(jí)保護(hù)管理辦法》正式頒行。2017年2017年《網(wǎng)絡(luò)安全法》第二十一條規(guī)定，國家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。2019年12月12019年12月1日等保2.0正式頒布，12月1號(hào)正式實(shí)施等保2.0國家標(biāo)準(zhǔn)在2019年12月1日實(shí)施2019.5.162019.6.32019.6.62019.6.192019.6.282019.9.52019.9.17深入推進(jìn)國家網(wǎng)絡(luò)安全等級(jí)保護(hù)制度一．《網(wǎng)絡(luò)安全法》第二十一條明確要求：國家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。二．中央關(guān)于加強(qiáng)社會(huì)治安防控體系建設(shè)的意見、公安改革若干重大問題的框架意見要求“健全完善信息安全等級(jí)保護(hù)制度”。三．習(xí)近平總書記等中央領(lǐng)導(dǎo)批示要求：健全完善以保護(hù)國家關(guān)鍵信息基礎(chǔ)設(shè)施安全為重點(diǎn)的網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。等保測評(píng)標(biāo)準(zhǔn)起草！GB/T22239一2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求（等保2.0標(biāo)準(zhǔn)）GB/T25058信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南GB/T22240信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南GB/T25070信息安全技術(shù)GB/T28448信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測評(píng)要求；GB/T28449信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測評(píng)過程指南。企業(yè)實(shí)施等保工作基本概念及關(guān)注要點(diǎn)基本內(nèi)容基本內(nèi)容基本概念信息安全等級(jí)保護(hù)是指對(duì)國家重要信息、法人和其他組織及公民的專有信息以及公開信息和存儲(chǔ)、傳輸、處理這些信息的信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù)，對(duì)信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級(jí)管理，對(duì)信息系統(tǒng)中發(fā)生的信息安全事件分等級(jí)響應(yīng)、處置。五個(gè)等級(jí)由低到高一到五級(jí)，二級(jí)和三級(jí)最為常見。關(guān)注要點(diǎn)關(guān)注要點(diǎn)主管單位：公安機(jī)關(guān)負(fù)責(zé)監(jiān)督、檢查、指導(dǎo)。監(jiān)管力度：二級(jí)以上系統(tǒng)均納入公安機(jī)關(guān)監(jiān)管范圍，其中三級(jí)系統(tǒng)至少每年測評(píng)一次。覆蓋范圍：中華人民共和國境內(nèi)的計(jì)算機(jī)信息系統(tǒng)。嚴(yán)重性：發(fā)現(xiàn)不符合有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)要求，公安機(jī)關(guān)會(huì)通知其運(yùn)營單位限期整改，并發(fā)送《網(wǎng)絡(luò)安全等級(jí)保護(hù)限期整改通知書》，逾期不改正的，給予警告并向上級(jí)主管部門通報(bào)，拒不改進(jìn)的，由公安機(jī)關(guān)處以警告或停機(jī)整頓。關(guān)鍵信息基礎(chǔ)設(shè)施等保是前提如何全局開展網(wǎng)絡(luò)安全工作PART等保測評(píng)工作步驟等保工作流程定級(jí)公民、法人和其他組織的合法權(quán)等級(jí)保護(hù)正式測評(píng)項(xiàng)目時(shí)間規(guī)劃/安全物理環(huán)境物理位置的選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕安全通信環(huán)境網(wǎng)絡(luò)架構(gòu)、通信傳輸、可信驗(yàn)證安全區(qū)域邊界邊界防護(hù)、訪問控制、入侵防范、惡意代碼和垃圾郵件防范、安全審計(jì)、可信驗(yàn)證安全計(jì)算環(huán)境身份鑒別、訪問控制、安全審計(jì)、入侵防范、惡意代碼防范、可信驗(yàn)證、數(shù)據(jù)完整性、數(shù)據(jù)保密性、數(shù)據(jù)備份恢復(fù)、剩余信息保護(hù)、個(gè)人信息保護(hù)安全管理中心系統(tǒng)管理、審計(jì)管理、安全管理、集中管控安全管理制度安全策略、管理制度、制定和發(fā)布、評(píng)審和修訂安全管理機(jī)構(gòu)崗位設(shè)置、人員配置、授權(quán)和審批、溝通和合作、審核和檢查安全管理人員人員錄用、人員離崗、人員考核、安全意識(shí)教育與培訓(xùn)、第三方人員管理安全建設(shè)管理定級(jí)和備案、安全方案設(shè)計(jì)、產(chǎn)品采購和使用、自行軟件開發(fā)、外包軟件開發(fā)、工程實(shí)施、測試驗(yàn)收、系統(tǒng)交付、等級(jí)測評(píng)、服務(wù)供應(yīng)商選擇安全運(yùn)維管理環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備維護(hù)管理、漏洞和風(fēng)險(xiǎn)管理、網(wǎng)絡(luò)和系統(tǒng)安全管理、惡意代碼防范管理、配置管理、密碼管理、變更管理、備份與恢復(fù)管理、安全事件處置、應(yīng)急預(yù)案管理、外包運(yùn)維管理等級(jí)保護(hù)問題匯總報(bào)告等保二級(jí)分階段實(shí)施優(yōu)先級(jí)等保三級(jí)分階段實(shí)施優(yōu)先級(jí)---機(jī)構(gòu)機(jī)構(gòu)方案商治療醫(yī)生方案工程師要求適用場景熟悉用戶業(yè)務(wù)、行業(yè)發(fā)展、產(chǎn)品功能、適用場景交付處方整改方案、設(shè)備選型要求持證上崗無截至到監(jiān)管機(jī)構(gòu)確認(rèn)全程輔導(dǎo)協(xié)調(diào)連接崗：護(hù)士、網(wǎng)安小蜂隊(duì)機(jī)構(gòu)設(shè)備廠商要求加強(qiáng)療效產(chǎn)品功能、性能、適用場景交付藥品整改產(chǎn)品銷售許可銷售許可證要求證機(jī)構(gòu)體檢機(jī)構(gòu)測評(píng)機(jī)構(gòu)B超醫(yī)師測評(píng)師要求熟悉測試工具、熟悉測試指標(biāo)熟悉測試工具方法、熟悉測試指標(biāo)交付檢驗(yàn)報(bào)告問題匯總要求持證上崗持證上崗集成商項(xiàng)目開展階段服務(wù)描述服務(wù)名稱服務(wù)內(nèi)容一、項(xiàng)目規(guī)劃確定等保測評(píng)工作方法根據(jù)系統(tǒng)安全等級(jí)情況、系統(tǒng)規(guī)模大小等，明確本次評(píng)估的方法。制定等保測評(píng)工作總計(jì)劃制定系統(tǒng)的工作計(jì)劃或方案，說明評(píng)估服務(wù)范圍、評(píng)估服務(wù)對(duì)象、工作方法、人員組成、角色職責(zé)、時(shí)間計(jì)劃等。二、定級(jí)備案確定測評(píng)范圍明確本次被測評(píng)系統(tǒng)的范圍，包括信息系統(tǒng)的邊界等。獲得信息系統(tǒng)的信息通過調(diào)查或查閱資料的方式，了解系統(tǒng)的構(gòu)成，包括網(wǎng)絡(luò)拓?fù)洹I(yè)務(wù)應(yīng)用、業(yè)務(wù)流程、設(shè)備信息、安全措施狀況等。確定具體的評(píng)估對(duì)象初步確定信息系統(tǒng)的被測評(píng)對(duì)象，包括整體對(duì)象,如辦公、網(wǎng)絡(luò)環(huán)境等；也包括具體對(duì)象，如邊界設(shè)備、網(wǎng)關(guān)設(shè)備、服務(wù)器設(shè)備、工作站、應(yīng)用系統(tǒng)等。備案材料準(zhǔn)備協(xié)助甲方進(jìn)行系統(tǒng)備案材料的整理填寫，并報(bào)備公安機(jī)關(guān)，獲取備案編號(hào)，完成定級(jí)備案工作三、輔導(dǎo)整改管理文檔補(bǔ)充完善按照國家規(guī)定的三級(jí)等保測評(píng)基本要求，在等級(jí)保護(hù)正式測評(píng)前，完成系統(tǒng)所有文檔的梳理及完善工作。組織整改方案的討論針對(duì)等級(jí)保護(hù)測評(píng)中的整改方案組織討論交流，包括相關(guān)制度的梳理，最終達(dá)到等保測評(píng)標(biāo)準(zhǔn)并協(xié)助甲方做好準(zhǔn)備工作。測評(píng)報(bào)告審核測評(píng)報(bào)告正式蓋章遞交到網(wǎng)安前，進(jìn)行內(nèi)容、細(xì)節(jié)和格式等與用戶再次確認(rèn)。換取備案證明根據(jù)等級(jí)保護(hù)相關(guān)要求，協(xié)助甲方到公安機(jī)關(guān)領(lǐng)取系統(tǒng)備案證明。五、增值服務(wù)英文咨詢（可選）在等保工作過程中提供英文支持，包含英文版測評(píng)報(bào)告。六、項(xiàng)目周期陪等保項(xiàng)目周期陪跑貫穿整個(gè)等保測試周期的陪跑，包括項(xiàng)目進(jìn)度把控和管理（周期3-6個(gè)月）相關(guān)內(nèi)容網(wǎng)安小蜂隊(duì)特有網(wǎng)絡(luò)安全意識(shí)提升服務(wù)每周提供關(guān)于網(wǎng)絡(luò)安全動(dòng)態(tài)、新聞、安全事件等匯集的信息安全周報(bào)。每周提供給企業(yè)員工安全意識(shí)培訓(xùn)短視頻副高以上專家培訓(xùn)為企業(yè)高管提供線下的安全培訓(xùn)，培訓(xùn)內(nèi)容圍繞網(wǎng)絡(luò)安全、等級(jí)保護(hù)、網(wǎng)安法解讀等多方面要點(diǎn)。國家重要信息系統(tǒng)保護(hù)人員培訓(xùn)公安部第三研究所源代碼備案證明源代碼備案證明甲方和乙方之間信任的橋梁異地產(chǎn)品送檢陪跑服務(wù)（共享員工）異地產(chǎn)品送檢陪跑服務(wù)（共享員工）感謝網(wǎng)安小蜂隊(duì)客戶的信任上海范圍已經(jīng)開展數(shù)萬個(gè)系統(tǒng)等保測評(píng)。網(wǎng)安小蜂隊(duì)6年來成功陪跑輔導(dǎo)的案例包括了以下行業(yè)l涉及行業(yè)：電信、銀行、稅務(wù)、電力、證券、保險(xiǎn)、郵政、交通、檢驗(yàn)檢疫、征信等l涉及系統(tǒng)：核心系統(tǒng)、網(wǎng)上交易、SCADA、熱線、客服、網(wǎng)站、OA、云平臺(tái)等感謝網(wǎng)安小蜂隊(duì)客戶的信任Icno感謝網(wǎng)安小蜂隊(duì)客戶的信任