网络安全始终是没有硝烟的战场。在这突如其来的新冠肺炎疫情期间,来自外界的攻击和威胁更多了。风险提示。开展网络安全等级保护工作不能懈怠,要通过适当方式继续开展等级保护评估工作。长期以来,由于等级保护评价涉及生产环境,更多采用现场评价方式。那么,新冠肺炎疫情期间,在互不见面、远程办公的情况下,防护工作能否开展?如何执行?中国软件测评中心网络安全中心给出如下建议。一、网络安全等级保护工作的主要内容首先简要介绍网络安全等级保护工作的五个方面:1、定级对象定级确认,参照GB/T22240-2008《信息安全技术 信息系统安全等级保护定级指南》等初步确认层层组织专家评审、主管单位审查、公安机关备案审查。2、备案:持分级报告和备案表等材料到公安机关网安部门备案。3、安全施工按照GB/T22239-2019相应等级的要求《信息安全技术网络安全等级保护基本要求》,对目前不符合要求的评定对象进行施工整改。4.等级评价委托具有评价资质的评价机构对评分对象进行等级评价,形成正式的评价报告。五、监督检查向当地公安机关网络安全部门提交评估报告,配合完成网络安全等级保护落实情况的检查。了解了保障工作的主要内容后,不难发现,等级考核只是其中的一部分,还有很多其他的保障工作可以远程进行。二、可远程开展的定级保护工作1、开展部分定级备案工作。基础信息网络、工业控制系统、云计算平台、物联网、移动互联网等对象类型。初步确定等级时,需要结合定级对象的具体情况,分析业务信息安全受到破坏时侵犯的对象——>综合评估对象的破坏程度——>确定业务等级信息安全;分析系统服务安全被破坏时造成的危害。被侵权对象—>综合评估对对象的侵权程度—>确定系统服务的安全等级=>分级对象的初步安全保护等级。专家评审期间,应当组织信息安全专家、业务专家对初步定级结果的合理性进行评审,出具专家意见。公安机关备案审查时,评级对象的运营、使用单位应当按照有关管理规定提交备案材料,包括但不限于备案表、评级报告、专家评审意见等。公安机关对备案材料的要求不同,需要提前准备。以上工作内容需要专业人员和时间来完成,工作可在远程办公条件下进行。评级对象的运营使用单位普遍实现了管理文件和管理流程的电子化,评级评价机构可以通过约谈、检查等检查方式,对网络安全管理环节进行差距评估。评级对象的运营和使用单位可根据差距评估结果补充目前缺失的安全管理体系,完成安全管理体系的编制。这个过程也可以寻求专业机构的咨询服务。2、部分网络安全技术评价对于可上网的信息系统,运营商和用户大多通过互联网+加密通道进行操作、维护、管理和使用。该类系统进行等级评估,与评估机构充分沟通后,制定合理、风险可控的评估方案和方案。部分评估对象的安全技术评估可以远程进行,如渗透测试、漏洞扫描等。过程中需要做好测试记录,如录像、截图、检测配置截图等。3、源代码安全审计其他安全工作对源代码安全审计也有相应的要求。在远程办公环境下,工程师可以使用静态分析工具对源代码进行安全审计,确认安全审计问题报告,并返回整改结果。4、网络安全意识教育培训等安全工作对安全培训有相应要求,如:对各类人员进行安全意识教育培训,告知相关安全责任和惩戒措施;应针对不同的岗位制定不同的培训计划,对基本安全知识和岗位操作规程进行培训。相关培训可在远程办公环境中进行。3.可远程洽谈、签订合同。目前,大部分项目都可以远程洽谈和签约。销售顾问和技术经理全部在线办公,工作时间可满足远程洽谈的需要。
