网络安全一直是没有硝烟的战场,这场突如其来的新冠肺炎疫情期间有更多来自外部的攻击和威胁,多部委发布关于涉新冠肺炎疫情的网络安全风险提示。开展网络安全等级保护工作不能松懈,等级保护测评工作应采取合适手段继续开展。一直以来等级保护测评由于涉及的均为生产环境,采取了更多的现场测评方式,那么新冠肺炎疫情期间,在不见面、远程办公条件下,等保工作就进行不了么?要如何开展呢?中国软件评测中心网安中心给出了以下建议。
一、网络安全等级保护工作主要内容
首先简要介绍下网络安全等级保护工作的5个方面的内容:
1、定级确认定级对象,参考GB/T 22240-2008《信息安全技术 信息系统安全等级保护定级指南》等初步确认等级,组织专家评审,主管单位审核,公安机关备案审查。
2.备案持定级报告和备案表等材料到公安机关网安部门进行备案。
3.安全建设以GB/T 22239-2019《信息安全技术网络安全等级保护基本要求》中对应等级的要求为标准,对定级对象当前不满足要求的进行建设整改。
4.等级测评委托具备测评资质的测评机构对定级对象进行等级测评,形成正式的测评报告。
5.监督检查向当地公安机关网安部门提交测评报告,配合完成对网络安全等级保护实施情况的检查。
了解了等保工作的主要内容,不难发现等级测评只是其中的一部分,等保工作还有许多可以远程开展。
二、可远程开展的等保工作
1.开展定级备案部分工作
网络安全等级保护对象定级工作一般流程为:
定级和备案是一项专业的工作:
在确定定级对象时,可能涉及到基础信息网络、工业控制系统、云计算平台、物联网、移动互联网等多种对象类型。
初步确认等级时,需结合定级对象的具体情况,分析业务信息安全受到破坏时所侵害的客体—>综合评定对客体的侵害程度—>确定业务信息安全等级;分析系统服务安全受到破坏时所侵害的客体—>综合评定对客体的侵害程度—>确定系统服务安全等级=》定级对象的初步安全保护等级。
专家评审时,应组织信息安全专家和业务专家,对初步定级结果的合理性进行评审,出具专家意见。
在公安机关备案审查时,需要定级对象的运营、使用单位根据相关管理规定,提交备案材料,包括但不限于备案表、定级报告、专家评审意见等。各地方公安机关对备案材料的要求有所不同,需要提前准备。
以上工作内容都需要专业人士和时间完成,可以在远程办公的条件下开展工作。
定级对象的运营、使用单位普遍实现了管理文档电子化、管理流程化,等级测评机构可以通过访谈、检查等检查方法,对网络安全管理部分进行差距评估。
定级对象的运营、使用单位可以根据差距评估的结果,目前缺少的安全管理制度进行补充,完成安全管理制度汇编。这个过程也可以寻求专业机构的咨询服务。
2.部分网络安全技术测评
对于互联网可访问的信息系统,运营、使用单位多通过互联网+加密通道的方式进行运维管理和使用。这类系统进行等级测评,与测评机构充分沟通后,制定合理的、风险可控的测评方案和计划,部分测评对象的安全技术测评可以远程进行,如渗透测试、漏洞扫描。需要过程中留好测试记录,比如视频录屏、截屏、检测配置截图等。
3.源代码安全审计
等保工作中对源代码安全审计也有相应要求,远程办公环境下,工程师可以采用静态分析工具对源代码进行安全审计,确认安全审计问题报告,及整改情况回归。
4.网络安全意识教育和培训
等保工作中对安全培训有相应要求如:应对各类人员进行安全意识教育和培训,并告知相关的安全责任和惩戒措施;应针对不同岗位制定不同的培训计划,对安全基础知识、岗位操作规程等进行培训。远程办公环境下,完全可以开展相关培训。
三、可以远程洽谈签订合同
目前大部分项目都可以远程进行洽谈和合同签订。销售顾问、技术经理都在线办公,工作时间能够满足远程洽谈的需要。