在《信息安全等级保护管理办法》(以下简称“管理办法”)中,目前也不清楚这些数据是通过黑客入侵、泄露还是其他方式被窃取的。沙特阿美在一份声明中表示:“我们确认,第三章等级保护的实施与管理的第九条要求信息系统运营、使用单位应当按照《信息系统安全等级保护实施指南》具体实施等级保护工作。当然,数据泄露并非由于我们的系统遭到破坏,如今《网络安全等级保护实施指南》已经代替《信息系统安全等级保护实施指南》,对我们的业务没有影响,但《管理办法》这条要求可以理解成并未改变,公司继续保持强的网络安全态势。”资料图周二,只是需要与时俱进,据称属于该公司的数据文件开始出现在“暗网”网站上,参考新版标准。那么进入《网络安全等级保护实施指南》,该公司被要求支付5000万美元的加密货币,我们看到安全等级保护工作实施的基本流程图,才能将这些数据从“暗网”上删除。目前还不清楚勒索赎金的人是什么身份。沙特阿拉伯石油公司 资料图沙特阿美的市值约为1.8万亿美元。该公司过去曾遭到过网络攻击,第一分就是等级保护定级与备案,美国和沙特将其归咎于伊朗。2017年,然后依次是总体安全规划、安全设计与实施、安全运行与维护、定级对象终止,沙特阿美和美国陶氏化学的合资企业Sadara的电脑被病毒破坏。官员称,这么一个生命周期。
我们回到定级与备案环节谈定级工作开展流程,该病毒可能是2012年迫使沙特石油巨头关闭网络、摧毁约3万台电脑的“沙蒙”病毒(Shamoon)的另一个版本。(编辑:ZLQ),从流程图在定级与备案环节,等级保护对象理论上处于一个“不存在”的状态,此时就需要开展定级与备案工作,那么定级工作是不是无稽之谈呢?又需要哪些步骤,哪些材料,有何依据呢?
依据《管理办法》《网络安全等级保护实施指南》(以下简称“实施指南”)、《网络安全等级保护定级指南》(以下简称“定级指南”),如何依据政策和标准文件开展定级工作?实施指南中等级保护对象定级与备案给出了一个阶段性的工作流程图,如下:
在行业/领域定级工作环节,活动目标是行业/领域主管门在必要时组织梳理行业/领域的主要社会功能/职能及作用,分析履行主要社会功能/职能所依赖的主要业务及服务范围,最后依据分析和整理的内容形成行业/领域的业务总体描述性文档。其参与角色包括主管门、网络安全服务机构、输入文档则是行业介绍文档、《定级指南》,通过开展识别、分析行业/领域重要性、主要业务、定级指导、定级工作署等工作,最终输出行业/领域的业务描述文件,行业/领域定级指导意见,行业/领域定级工作署文件等。
如最近新闻技术工作者联合会发布的《报业网络安全等级保护定级参考指南》,就是属于这类文件。但是,这里对于运营、使用单位,直接引用相关指导文件即可,只需要考虑行业指导文件的有无,进而参考开展工作,因为有些行业/领域并未开展这个阶段工作,制定出指导性文件。
然后,在进入等级保护对象分析阶段,其一则是对象重要性分析,在此过程中活动目标则是通过收集了有关等级保护对象的信息,并对信息进行综合分析和整理。分析单位的主要社会功能/职能及作用,确定履行主要社会功能/职能所依赖的等级保护对象。整理等级保护对象处理的业务及服务范围,最后依据分析和整理的内容,参照有行业/领域定级指导意见,形成单位内等级保护对象的总体描述性文档。
这个时候我们参与角色有运营、使用单位,网络安全服务机构。而输入的文档则是单位情况说明文档、等级保护对象的立项、和管理文档,行业/领域定级指导意见等。通过识别单位的基本信息、等级保护对象基本信息、管理框架、网络及设备署、业务特性、处理的信息资产、用户范围和用户类型、等级保护对象描述等,输出包含等级保护对象概述、等级保护对象重要性分析、等级保护对象边界描述、网络拓扑、设备署、支撑的业务应用的种类和特性、处理的信息资产、用户的范围和用户类型、等级保护对象的管理框架等内容的等级保护对象总体描述文件。
到此,你看到的等级保护对象还处于“纸上谈兵”阶段,带着这个问题我们进入定级对象确定环节。
定级对象确定环节的目标是依据单位的等级保护对象总体描述文件(有行业/领域定级指导意见的还应依据行业/领域定级指导意见),在综合分析的基础上将单位内运行的等级保护对象进行合理分解,确定所包含的定级对象及其个数。
在这个环节中,参与角色包括运营、使用单位,网络安全服务机构。而输入的文档则是行业/领域定级指导意见,行业/领域定级工作署文件,上个环节形成的等级保护对象总体描述文件,《定级指南》。通过等级划分方法的选择、等级保护对象划分、定级对象详细描述,输出相对独立的定级对象列表、每个定级对象的概述、每个定级对象的边界、每个定级对象的设备署、每个定级对象支撑的业务应用及其处理的信息资产类型、每个定级对象的服务范围和用户类型等内容的定级对象详细描述文件。
带着以上文件,然后进入安全保护等级确定环节,这个环节分为定级、审核和批准以及形成定级报告两分,基本上进入了《定级指南》所囊括的细节中。
定级对象确定环节的目标是按照有关管理规范和定级标准,确定定级对象的安全保护等级,并对定级结果进行评审、审核和审查,保证定级结果的准确性。在这个阶段参与角色包括主管门,运营、使用单位,网络安全服务机构等,输入文件则包含上面产生的行业/领域定级指导意见、等级保护对象总体描述文件、定级对象详细描述文件。依据这些文件,进入定级对象安全保护等级初步确定,这时主要根据有关管理规范、行业/领域定级指导意见(若有则作为依据)以及定级方法,运营、使用单位对每个定级对象确定初步的安全保护等级。
然后,进入定级结果评审阶段,运营、使用单位初步确定了安全保护等级后,根据《定级指南》规定,组织网络安全专家和业务专家对初步定级结果的合理性进行评审.并出具专家评审意见。专家评审结束后,则进入定级审核批准环节,运营、使用单位初步确定了安全保护等级后,有明确主管门的,应将初步定级结果上报行业/领域主管门或上级主管门进行审核、批准。行业/领域主管门或上级主管门应对初步定级结果的合理性进行审核,出具审核意见,到此才能产出定级结果。这分工作,还是以《定级指南》作为依据,直到此时作为等级保护对象,我们其实还未看到《等级保护备案表》、定级报告以及实际的网络设备、安全设备等等,还是纸上谈兵,未落到实处。
接下来,就进入形成定级报告环节,从这里可以看到定级报告时间理应晚于专家评审意见出具时间,在专家评审意见和定级报告形成之间,还有主管门的审核,必然要耗费一点点时间的。
定级对象确定环节目标是通过对定级过程中产生的文档进行整理,最终形成包含单位信息化现状概述、管理模式、定级对象列表、每个定级对象的概述、边界、设备署、支撑的业务应用、定级对象列表、安全保护等级以及保护要求组合等内容的等级保护对象定级结果报告。到此,定级工作才算真正结束,定级工作结束后就需要根据《管理办法》要求,到属地公安机关网安门进行备案。
回顾定级工作致时间线
1.行业/领域主管门出具行业指导意见——依据的是行业介绍文档、《定级指南》;
2.等级保护对象分析——依据的是单位情况说明文档、等级保护对象的立项、和管理文档,行业/领域定级指导意见等;
3.定级对象确定——依据的是行业/领域定级指导意见,行业/领域定级工作署文件,等级保护对象总体描述文件,《定级指南》等;
4.定级、审核和批准——依据的是行业/领域定级指导意见、等级保护对象总体描述文件、定级对象详细描述文件;
5.形成定级报告——依据的是定级对象详细描述文件、专家评审意见、定级结果。
以上定级工作流程,是一个理想化的定级工作开展参考,在各地开展定级工作中,自然会出现同小异的地方,但不影响等级保护工作的整体推进。定级工作是落实等级保护制度的开始,而好的开始恰恰正是成功的一半!
声明:除发布的文章无法追溯到作者并获得授权外,我们均会注明作者和文章来源。如涉及版权问题请及时联系我们,我们会在第一时间删改,谢谢!文章来源:等级保护测评。
标签:网络安全等级保护实施指南 定级指南 管理办法
