《网络安全法实施指南》发布(4)
时间:2018-04-14 07:29 来源:网络整理 作者:墨客科技 点击:次
近年来,主管部门及安全标准化机构发布了多个与《网络安全法》实施相关的法规与标准,有的还处在征求意见当中。为方便各类机构在实施《网络安全法》时加以参考,把最重要的相关法规与标准列表如下:
国内近期发布《网络安全法》相关法规标准 国外相关法律与规范识别 组织在实施《网络安全法》时,可以根据自身的需要对其他国家和地区的相关法规和标准进行识别,其目的一方面使国内机构借鉴国外的一些网络安全最佳实践,同时可以为国外组织在国内实施网络安全合规要求时,建立一个可以对比的参照系。
国外网络安全相关法规 2. 合规差距分析 以《网络安全法》为基础,网络运营者应从网络安全管理、网络安全技术和个人信息保护三方面综合考虑各项法律、法规的监管要求,通过对组织现状的了解,对组织当前合规情况进行差距分析。
《网络安全法》合规差距分析 3. 合规对应实施 《网络安全法》具体合规实施时,可以从网络运营安全、网络信息安全及关键信息基础设施保护三个方面,描述对应的保护要求和对应条款,分别从“相关责任方”、“管理措施”及“技术措施”三个维度分析其具体实施要点。以下举例说明。 3.1 网络运营安全控制措施
3.2 网络信息安全控制措施
3.3 关键信息基础设施安全控制措施
三、信息安全体系完善 按照《网络安全法》实施网络安全控制措施,是当前国内各类组织在信息安全方面的重要实践,但我们也要清醒地看到,落实法律的合规要求只是组织信息安全的最基本要求,法规不可能面面俱到。因此,就算组织逐条落实了法规的要求,也只是达到了合规的基本要求,也不能保证组织的信息安全体系达到一个完善的水平。 因此,在合规的基础上,我们建议组织根据《网络安全法》的要求,通过等级保护的方法来进一步完善信息安全保障体系,通过人员安全培训与意识教育来提升组织的人员安全能力,通过持续安全评估与IT审计来推进安全体系持续完善。 1. 等级保护相关规范标准 信息安全等级保护制度是国家信息安全保障工作的基本制度、基本策略和基本方法,是促进信息化健康发展,维护国家安全、社会秩序和公共利益的根本保障。 组织可以基于合规差距分析结果并参照网络安全等级保护和其他法规对信息安全的要求,建立健全组织信息安全保障体系,部署并完善安全管理策略和安全技术措施,持续稳定地提升信息安全水平。 到目前为止,国家制定与颁布了与等级保护相关的多个国家标准,一些重点行业也制定了本行业的信息安全等级保护标准,等级保护的方法近年来在国内得到广泛的应用。 已经发布的等级保护相关标准:
正在征求意见的等级保护标准修订稿 为配合国家落实《网络安全法》,等级保护标准的名称将由原来的GB/T22239-2008《信息安全技术 信息系统安全等级保护基本要求》改为“信息安全技术 网络安全等级保护基本要求”,标准由原来的一个标准变更为多个部分组成的标准,分别为:
等级保护对象由原来的信息系统,调整为:安全等级保护的对象包括网络基础设施、信息系统、大数据、云计算平台、物联网、工控系统等。 等级保护相关的定级指南、测评指南、设计技术要求、测评要求、测评过程指南等相关标准也发布了相应的修订版(征求意见稿)。 2. 等级保护体系的设计 (责任编辑:admin) |
