《中华人民共和国网络安全法》第21条明确规定:国家实行网络安全等级保护制度。2019年5月,《信息安全技术网络安全等级保护基本要求》、《信息安全技术网络安全等级保护测评要求》、《信息安全技术网络安全等级保护安全设计技术要求》等一系列“等保2.0”相关国家标准颁布,为政府、企业的安全建设提供了可以依靠的规尺,安全的合规性特征也将有助于切实提高网络安全的建设水平。
作为国家强制标准,“等保2.0”对政府机关的网络与办公信息系统提出了相关的规范要求。随着政府机关信息化工作的深入发展,为贯彻落实国家和主管部门的相关要求,不断提高信息安全整体防护能力,做好网络安全等级保护工作成为相关部门的工作重点。
2020年3月,国家安全监管总局政府网站信息发布管理办法,不仅对自身做好网络安全等级保护工作提出了具体的要求,对在总局政府网站链接的网站或业务系统,也要求必须达到信息安全等级保护相应级别。
2020年5月,为建立健全信息网络安全管理体系,青海省市场监管局制定了《青海省市场监督管理局信息化制度汇编》,明确了网络和信息安全管理工作的重点,提升网络和信息安全保障能力。
2020年8月,湖南省出台《湖南省电子政务外网安全管理暂行办法》,要求各级政务外网建设运维安全管理单位(以下简称政务外网管理单位)要严格落实网络安全工作责任制,履行关键信息基础设施的相关安全保护义务,做好采购产品和服务的安全评估工作,采取措施保护政务外网安全。
在我国,政府机关的信息系统一般都是涉及国计民生的重要业务系统,保障需求非常强烈。但是因种种原因,比如政府机关的信息系统大多追求稳妥,使用的设施或软件不会太先进;随着政策的调整,信息系统也需要经常改动以适应政府服务及管理功能的需要;资金使用有限制,预算需要提前一年设定等,导致政府机关的信息安全建设只能按部就班循序渐进。
那政府机关的等保工作应该如何开展呢?葫芦娃集团针对政府机关信息系统的安全防护提出以下建议:
首先是定级。政府机关应遵循国家推行的相关标准对系统进行定级。经确定定级对象、初步确定等级、专家评审、主管部门审核、公安机关备案审查一系列流程,最终确定机构的网络安全保护等级是第二级还是第三级。
定级后,最重要的环节是需要经专业的测评机构进行现场测评,一般具体安全测评的范围主要包括政府门户网站的网络、业务应用系统、安全管理制度和人员等,安全测评通过静态评估、现场测试、综合评估等相关环节和阶段,从安全通信网络、安全计算环境、安全管理中心、安全管理制度等多个方面,进行综合测评。
通过等级测评,测评机构可以帮助政府机关找出系统中存在的安全隐患,明确系统当前的安全保护水平与国家网络安全等级保护要求之间的差距,并通过提出有针对性的整改建议为后续的系统达标和可靠稳定运行奠定良好的技术基础。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至123456@qq.com 举报,一经查实,本站将立刻删除。
