网络安全等级保护测评是由信息安全等级保护测评过渡而来的,下面会简单说明一下其发展的情况,以及其简单的解析下其是意思,一般用来做什么的。
下面我们来看看黎水林, 陈广勇, 陶源发表的《网络安全等级保护测评中网络和通信安全测评研究》中是如何介绍网络安全等级保护测评由来吧。
自2007年起, 在国内有关专家、企业和科研院所的共同努力下, 由公安部牵头组织制订了等级保护工作需要的一系列国家标准, 形成了比较完整的信息安全等级保护标准体系, 为开展信息安全等级保护工作奠定了坚实的基础。《中华人民共和国网络安全法》于2016年11月7日发布, 网络安全法第二十一条规定国家实行网络安全等级保护制度, 这标志着我国实施十余年的信息安全等级保护制度进入2.0时代。为推动我国网络安全等级保护工作的开展, 公安部组织相关单位开展网络安全等级保护标准制修订工作, 在对原有等级保护技术标准修订的基础上, 增加了云计算、移动互联、物联网、工业控制系统环境下的安全扩展要求, 形成了比较完整的网络安全等级保护标准体系。
网络安全等级保护测评是开展网络安全等级保护工作的重要环节, 它不同于一般的安全测评和风险评估, 是指测评机构依据国家网络安全等级保护制度规定, 按照有关管理规范和技术标准, 对已定级备案的非涉及国家秘密的网络(含信息系统、数据资源等)的安全保护状况进行检测评估的活动。网络安全等级测评包括标准符合性评判活动和风险评估活动, 即依据网络安全等级保护的国家标准或行业标准, 按照特定方法对网络的安全保护能力进行科学、公正的综合评判过程。
网络安全等级保护测评包括单项测评和整体测评两个方面[6]。单项测评是针对每一个安全要求项的测评, 支持测评结果的可重复性和可再现性; 整体测评是在单项测评的基础上, 对等级保护对象的整体安全保护能力进行判断, 包括安全控制点测评、安全控制点间测评和层面间测评3个维度。单项测评可分为技术测评和管理测评, 其中技术测评包括物理和环境安全测评、网络和通信安全测评、设备和计算安全测评和应用和数据安全测评4个层面; 管理测评包括安全策略和管理制度测评、安全管理机构和人员测评、安全建设管理测评和安全运维管理测评4个层面。网络安全等级保护测评框架如图1所示。
通过开展网络安全等级保护测评工作, 可以评估网络的安全保护技术措施和管理措施是否符合等级保护标准的要求, 是否具备了相应等级的安全保护能力, 从而帮助网络运营者准确掌握网络的安全状况, 及时发现网络中存在的安全隐患和薄弱环节, 以便有针对性地采取相应的安全防护措施。
咨询热线
010-85377344
135-21581588
微信客服
QQ客服
3026106565 点击咨询