如何28天完成等級保護測評全流程?
目前數(shù)字經濟建設浪潮一浪高過一浪,與此同時我國的網(wǎng)絡安全法也逐漸得到普及,支撐網(wǎng)絡安全法的網(wǎng)絡安全等級保護相關標準規(guī)范也不斷更新和完善。
落實網(wǎng)絡安全等級保護制度是網(wǎng)絡運營者(指網(wǎng)絡的所有者、管理者和網(wǎng)絡服務提供者)的責任與義務。通常情況,無論是在建或已運行的系統(tǒng),完成一次等級保護測評的全流程需要2-3個月時間,有的需要半年甚至超過1年的也不在少數(shù)。
以北京為例,等級保護備案階段:申請與受理4個工作日、審查與決定8個工作日、制證與發(fā)證10個工作日。等級保護測評與整改階段更是需要花費大量時間,一般需要1-2個月。
靈狐科技專家在近期的一個項目中,28天內快速完成了一次等級保護測評全流程。并從項目中總結了快速完成等級保護測評全流程的五大關鍵要素,即優(yōu)選測評機構、系統(tǒng)合理定級、準備工作充分、及時跟進流程、關鍵路徑并進。在此分享給廣大網(wǎng)絡運營者參考。
優(yōu)選測評機構
選擇測評機構時應盡量選取企業(yè)所在地的測評機構,綜合考慮其公司資質與技術能力,如測評公司具有的資質、各等級測評師人員數(shù)量、在市場中的口碑、被測評企業(yè)所屬行業(yè)的測評案例等。同時明確提出本次測評的工期要求與項目預算,并采取邀請招標或公開招標的方式選擇最優(yōu)的測評機構。
系統(tǒng)合理定級
系統(tǒng)定級是等級保護測評的第一步,無論是在建系統(tǒng)或已建系統(tǒng),合理定級是關鍵,應參照“定級過低不允許、定級過高不可取”的原則來定級。如同為等級保護第三級可細分為S2A3、S3A3、S3A2三種類型,與之相對應的等級保護測評控制項就相差不少,將直接影響系統(tǒng)設計、建設、運維的方方面面。定級完成后需由安全專家與業(yè)務專家共同對定級報告中涉及的系統(tǒng)業(yè)務描述、業(yè)務網(wǎng)絡拓撲、業(yè)務受影響的風險分析進行專家評審并形成書面專家評審意見。最后定級報告與專家評審意見需上傳到公安網(wǎng)警的等級保護備案系統(tǒng)中。
準備工作充分
“磨刀不誤砍柴功”,做好大量的準備工作是快速完成等保測評的先決條件。從業(yè)務系統(tǒng)的全生命周期角度來看,需要具備項目立項、需求說明、實施方案、驗收標準、人員組織、管理制度等過程環(huán)節(jié)資料。特別是網(wǎng)絡安全方面,需要有網(wǎng)絡安全的設計方案、建設實施方案、安全策略及安全檢測規(guī)范、安全運營管理制度及安全建設運營過程文檔(如漏洞掃描報告、滲透測試報告、代碼審計報告、應急預案與演練記錄、人員培訓記錄等)。
針對規(guī)模大或重要性要求高的業(yè)務系統(tǒng)其建設設計方案、安全保障方案需要聘請外部專家進行專家評審并形成書面專家評審意見。及時跟進流程
以廣東為例,企業(yè)在公共信息網(wǎng)絡安全綜合管理系統(tǒng)填報前應授權一位負責人,并由其跟進后續(xù)備案資料收集與文檔掃描、系統(tǒng)填寫與資料上傳,同時關注審核反饋信息及時提交補充資料和修訂資料。及時關注審核結果、獲取備案證明及線下提交測評報告。此過程中,遇到問題應及時反饋給上級領導,并協(xié)調資源推進等級保護備案流程。
關鍵路徑并進
加快項目進度一般可采取加班與并行趕工的方式,但前提是需要一名優(yōu)秀的項目經理來分解項目實施步驟,識別并規(guī)劃關鍵實施路徑,把控管理項目實施過程風險。等級保護測評過程主要可并行的環(huán)節(jié)有商務洽談與技術實施、系統(tǒng)建設與安全檢測、系統(tǒng)測評與整改復測。