等级保护的五个规定动作分别是定级、备案、建设整改、安全测评、监督检查,定级与备案属于等级保护前两个动作,定级过程中又涉及到评审,所以再分则可以理解第一个大阶段包含定级、评审与备案三个工作项。如下图,最上一层所示。
等级保护遵循“三同步”原则,现在《网络安全法》规定的“三同步”为“同步规划、同步建设、同步使用”,基本上在规划之初就应该考虑等级保护工作如何开展,也就是等级保护工作与规划同步开展。
今天我们结合《网络安全等级保护实施指南》探讨一下等级保护定级与备案阶段工作流程。
流程大致如下图所示:
依据上图,我们将定级与备案工作分成四个阶段。
第一阶段:
需要输入的包括行业介绍文档、GB/T 22240-2020《信息安全技术 网络安全等级保护定级指南》(以下简称“《定级指南》”,主要过程是行业/领域定级工作,最终需要输出包括行业/领域的业务总体描述文件、行业/领域定级指导意见、行业/领域定级工作部署文件。在这个阶段,从输入来看基本上是网络所有者、运营者所在的行业主管部门根据自己所处行业和领域特点结合《定级指南》出具行业性定级指导性文件。
这个阶段涉及的子活动有识别、分析行业/领域重要性,识别行业/领域的主要业务,定级指导,定级工作部署等,这些子活动基本上以行业主管部门负责。
这个阶段的工作主要是行业主管部门和安全服务机构共同完成。
作为网络网络运营、使用单位则需要了解有哪些关于等级保护定级的行业/领域性文件。作为测评机构测评师,大多都会关注这块工作,网络运营、使用单位可以咨询测评机构或与测评机构一起努力查找相关文件。
第二阶段:
到第二阶段,进入等级保护对象分析,需要输入上阶段输出的行业/领域定级指导意见、定级部署文件等,结合网络网络运营、使用单位自身单位情况说明的文档、等级保护对象的立项、建设和管理文档再加上《定级指南》,经过等级保护对象分析输出等级保护对象总体描述文件、等级保护对象详细描述文件。
这个阶段的工作是网络网络运营、使用单位与网络安全服务机构来完成。
这个阶段涉及识别、分析行业/领域重要性、主要业务、定级指导、定级工作部署等。
第三阶段:
到第三个阶段结合行业/领域定级指导意见、等级保护对象总体描述文件、等级保护对象详细描述文件完成安全保护等级确定,在这个阶段输出主管部门审核意见、等级保护对象安全保等级定级报告。
这个阶段的工作是网络网络运营、使用单位与网络安全服务机构来完成。
这个阶段涉及对象重要性分析,其子活动有识别单位的基本信息,识别单位的等级保护对象基本信息,识别等级保护对象的管理框架,识别等级保护对象的网络及设备部署,识别等级保护对象的业务特性,识别等级保护对象处理的信息资产,识别用户范围和用户类型,等级保护对象描述。其中等级保护对象的描述应该包含但不限于等级保护对象概述、重要性分析、边界描述、网络拓扑、设备部署、支撑的业务应用的种类和特性、处理信息资产、用户的范围和用户类型、管理框架等。
定级对象确定子活动包括划分方法的选择、等级保护对象划分、定级对象详细描述。一个描述准确的大型等级保护对象中应包含且不限于相对独立的定级对象列表、每个定级对象的概述、每个定级对象的边界、每个定级对象设备部署、每个定级对象支撑的业务应用及其处理的信息资产类型、每个定级对象的服务范围和用户类型。
第四阶段:
最后是第四个阶段需要输入上个阶段输出的定级报告以及主管部门审核意见、等级保护对象安全总体方案、安全详细设计方案、安全等测评报告,去公安机关进行定级结果备案,输出备案材料和备案证明。
这个阶段的工作是网络网络运营、使用单位、行业主管部门与网络安全服务机构来共同完成。
这个阶段涉及的子活动有定级对象安全保护等级初步确定、定级结果评审、定级结果评审、批准。形成定级报告应包含但不限于单位信息化现状概述、管理模式、定级对象列表、每个定级对象的概述、每个定级对象的边界、每个定级对象的设备部署、每个定级对象支撑的业务应用、定级对象列表、安全保护等级以及保护要求组合等。
定级结果备案需要对备案材料进行整理,填写备案表等材料,备案材料提交以及后期补充测评报告等工作。公安机关接收备案材料初级备案证明。这样,等级保护定级与备案工作算是完结,接着将进入建设阶段,以后再一起探讨。这个阶段将定级工作几个视角谈论完,分别从宏观、中观去谈,上次谈论的较宏观,这次较中观,下次分享以《定级指南》为参考的单位如何确定定级对象以及如何定级的问题。
等级保护不同阶段参与方是不同的,但是作为网络运营、使用单位是自始至终都要参与进来的,而公安监督检查也是贯穿始终的。只是监管角度和方式不同而已,对网络安全服务机构有依法对安全服务机构的管理要求,对行业主管部门有依法对行业主管部门的管理要求,对网络运营、使用单位有依法对网络运营、使用单位的手段。而只有各司其职,各尽其责按照相关国家法律法规及标准去建设网络,才能做到最佳的合规。
黑客&网络安全如何学习
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
1.学习路线图
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。
2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。
(都打包成一块的了,不能一一展开,总共300多集)
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。
还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
333
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
