等级保护标准的东西其实不是硬性规定,其具备弹性性,同样一条标准可以通过不同方式来实现,完全可以结合企业自身环境特点来应对。企业在做好安全工作的过程中,要达到合规,而不是为了应付等保测评检查而被动的去对标标准做合规。
国家网络安全工作规划是:一个中心,三重防护。对应到等级保护2.0中,即安全管理中心、安全通信网络、安全区域边界、安全计算环境(物理环境安全属于独立科目)。此外,网安法中需求系统建设必须做到三同步,即同步规划、同步建设、同步使用。
安全管理中心
本控制项为等级保护标准技术部分核心,名称虽然看着像管理,但实际归为技术部分。本项主要包括系统管理、审计管理、安全管理和集中管控四个控制点,其中的集中管控可以说是重中之重,主要都是围绕它来展开的。
网络安全三同步
《网安法》第三十三条规定:建设关键信息基础设施应当保证其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用。
同步规划:在业务规划的阶段,应当同步纳入安全需求,引入安全措施。如同步建立信息资产管理情况检查机制,指定专人负责信息资产管理,对信息资产进行统一编号、统一标识、 统一发放,并及时记录信息资产状态和使用情况等安全保障措施。
同步建设:在项目建设阶段,通过合同条款落实设备供应商、厂商和其他合作方的责任,保证相关安全技术措施的顺利准时建设。保证项目上线时,安全措施的验收和工程验收同步,外包开发的系统需要进行上线前安全检测,保证只有符合安全需求的系统才能上线。
同步使用:安全验收后的日常运营维护中,应当保持系统处于持续安全防护水平,且运营者每年对关键信息基础设施需要进行一次安全检测评估。
枫舟驿站提供云平台用户与各省市等级保护测评机构的沟通渠道,促成用户与测评机构等级保护测评合作关系,并对测评机构提供的等级保护测评活动进行服务质量监督,帮助云平台用户的信息系统完成等级保护测评工作。专业机构,一站式服务更省心,业务链接
评论前必须登录!
注册