等级保护基本要求维持安全技术+安全管理的体系模式,从技术和管理两个维度提出相应的安全要求,保障网络和信息系统尽可能地安全。等级保护技术层面从等保1.0“分层防护、纵深防御”的体系到等保2.0“一个中心、三重防护”的纵深防御体系也是在吸收国际网络安全先进安全体系和安全理念。
等级保护系列标准成体系化,2019年等级保护基本要求、设计要求、测评要求三大标准同时发布、同步执行,将等级保护工作与“三同步”融合,即在信息系统的“规划、建设、运营/使用”三阶段生命周期,形成等级保护与“三同步”的结合点。在网络和信息系统上线前后基于等级测评可发现其存在的安全隐患,及时整改,保证系统上线后安全、稳定、合规的运行。
等级保护整个体系涉及面广,基本涵盖网络安全所需的各项能力。因等级保护的“定位和作用”,使得其有点“广而不深”,即等保基本性要求并未在某些安全层面细化,但其对系统安全体系建设存在一定的指导作用。
等保测评的严谨性
“任何一门学科如果不引入数学, 就无法成为科学。”等保测评的测评结果分析与报告编制阶段积极尝试进行量化,通过“定性+定量”的方式使得结果更具有科学性、更加的合理性,保证等级测评的严谨性。虽然等级测评工作的复杂程度以及科学程度没有密码学对于“数学”的理论性要求强,但等保测评也在积极推动量化工作,多指标、多层次的量化工作并非易事,也希望DJBH行业从业者能够积多人之力,实现量化方法更加合理化。
“算法并无错与对,只有优与不优”,等保2.0中计算公式可能在理解、使用时存在一定的出入,但其依据“最优距离法、平均法”的数学理论,也保证了一定的“科学性”。等级测评结论基于风险的定性分析和测评结论的量化结果综合进行判定,测评结论如何合理的引导也是论证“等保测评非常重要”这一命题的有力支撑,用户也无须担忧“测评分数”是“拍脑袋”得到的。
业内习惯称“等级测评”为“过等保”,落实等级保护制度,开展等级保护工作需进行定级、备案、建设整改、等级测评、监督检查一系列工作。用户在积极落实等级保护工作过程中,等级测评仅仅是其中的一部分工作内容,等级测评结论为差,只能说明等级保护对象安全防护能力暂未达到等级保护基本要求,还需继续推进整改工作。等级测评结论为差与不落实、开展等级保护工作是两个不同层面的事情,前者只需接受监督管理、持续改进,尽快满足等级保护基本要求,后者则在违法网络安全法。
等级测评非常重要,“0元过等保”可能存在误导,用户自身还需结合业务和实际网络环境仔细落实。
【云巴巴严选云】作为腾讯的金牌代理商,携手腾讯安全,搭配出了提供了包括等保2.0、等保3.0基础方案、等保3.0高级方案,还有包括网商\电商加固方案在内覆盖各行各业的网络安全实施方案。一站式解决企业上云的安全问题,保障业务稳定进行。
更多产品了解
欢迎扫码加入云巴巴企业数字化交流服务群
产品交流、问题咨询、专业测评
都在这里!
2022-11-23 09:55:23
2021-12-03 14:38:04
2022-11-23 11:39:42
2022-11-23 10:30:49
2020-05-14 17:39:07
2021-12-03 11:50:43
甄选10000+数字化产品 为您免费使用
申请试用
评论列表