机器人|什么是网络安全等级保护( 五 )


3.5.2  提出实现等级保护技术体系的安全技术措施
根据《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)、行业基本要求(不同行业的网络安全等级保护规范性文件)、安全需求等 , 提出等级保护对象需要实现的安全技术措施 , 形成运营者特定的等级保护对象安全技术体系架构 , 用以指导等级保护的具体实现 。
将安全技术体系中要求实现的安全策略、安全技术体系结构、安全措施和要求落实到产品功能或物理形态上 , 提出能够实现的产品或组件及其具体规范 。
对于新建的等级保护对象 , 运营者可根据网络安全相应等级保护要求提出的安全控制点内容进行逐项安全技术措施的设计 。
对于改建、扩建等级保护对象的 , 运营者可根据网络安全相应等级保护要求提出的安全控制点内容 , 对等级保护对象新增或改变的部分进行安全技术措施的设计 。
运营者从安全物理环境、安全区域边界、安全通信网络、安全计算环境(主机安全/应用和数据安全)、安全管理中心五个方面进行详细设计 , 提出具体应采用的安全技术措施 。 例如:
——网络安全等级保护第三级安全通用要求的“安全区域边界”的“访问控制”提出以下要求:

基于如上要求 , 运营者根据本单位实际情况 , 设计使用防火墙做如下部署:

设计使用防火墙做如下策略配置:

3.6  设计安全管理体系运营者根据安全保护相应等级对安全管理制度的要求 , 结合本单位实际情况 , 设计安全管理体系 。
安全管理体系由安全策略、安全管理制度、操作规程、记录表单等构成 。

一般而言 , 安全管理体系设计包括设计方法 , 体系框架设计 , 内容设计 , 安全管理制度的制修订、评审、发布、执行、检查与废弃工作机制设计等内容 。
【机器人|什么是网络安全等级保护】感兴趣的读者可参考《浅谈关键信息基础设施运营者如何制修订安全管理制度》一文 。
3.7  设计安全组织体系根据网络安全保护相应等级对安全组织的要求 , 结合本单位实际情况 , 设计安全组织体系 。
一般而言 , 安全组织设计包括组织机构、岗位及职责设计、安全从业人员管理工作机制设计等内容 。 具体而言:
(1)根据安全组织体系设计提出的设计内容 , 对岗位职责设计不合理的 , 明确应如何重塑职责;
(2)缺乏相应岗位的 , 明确应新设哪些岗位 , 相应的职责内容以及可能存在的岗位重组情况;
(3)从人员审查、人员筛选、人员调动、人员离职、职责分离以及安全意识教育、专业技能培训等方面详细设计安全从业人员的管理工作机制 。
感兴趣的读者可参考《浅谈关键信息基础设施运营者专门安全管理机构的组建》一文 。
3.8  梳理等级保护建设清单根据安全技术体系、安全管理体系、安全组织体系具体实现所需要的各项建设内容 , 梳理形成建设清单 。
3.9  形成项目分期规划等级保护是系统工程 , 涉及政策、预算、技术、管理、人才、资源等多方面因素 , 在开展等级保护相关工作时 , 运营者可能无法“毕其功于一役”完成一系列保护措施的落地与执行 。 因此 , 运营者应通过项目形式科学、合理、务实的分期分批开展等级保护对象保护相关工作 。
等级保护建设项目规划的主要步骤包括:确定项目分期目标、规划项目分期建设内容以及形成项目分期规划 。

(1)确定项目分期目标
运营者结合本单位网络安全和信息化建设的中长期发展规划 , 网络安全建设的预算投入、资金状况 , 待解决安全问题的优先级等因素 , 综合确定项目分期的安全实现目标 。