您现在的位置是:主页 > IT干货 > 网络安全 > 网络安全

网络安全认证(网络安全的六大认证、审查和评估体系)

admin2022-11-22 人已围观

简介1、网络安全等级保护制度网安法草案第二十条规定:“国家实行网络安全等级保护制度”。从2004年开始,由公安部牵头实施的“信息系统安全等级保护制度”已经建立起来。理论上,“网络安

1、网络安全等级保护制度

网安法草案第二十条规定:“国家实行网络安全等级保护制度”。从2004年开始,由公安部牵头实施的“信息系统安全等级保护制度”已经建立起来。理论上,“网络安全”与“信息系统安全”是内涵和外延均有所差异的两个概念,“信息系统安全”应当是“网络安全”的子集。因此,“网络安全等级保护制度”可能是现有的“信息系统安全等级保护制度”的升级版,在除了信息系统之外的网络层面上提出更多的安全要求,例如要求“采取监测、记录网络运行状态、网络安全事件的技术措施”等等。关于两个等保制度之间的关系,希望能够在今后的实施条例中得到进一步明确。

2、“网络关键设备和网络安全专用产品”安全认证制度

第二十二条规定:“网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全监测符合要求后,方可销售”,网络关键设备和网络安全专用产品的产品目录将后续制定。目前对于信息技术产品的安全认证体制只有“十三类安全相关软件”、“安全产品销售许可”和“密码产品相关认证”等,而此次提出的“网络关键设备和网络安全专用产品”的概念是全新的,理论上和现有的认证体系会有很大重叠。

3、关键信息基础设施安全保护机制

第二十九条规定:“国家一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息技术设施的具体范围和安全保护办法由国务院制定”。提出关键信息技术设施的概念是网安法的一大亮点。从网安法第一版本的枚举式定义到第二版的结果性定义,关键信息技术设施的范围到目前为止仍然模糊,也成为业界担忧的重点之一,因为可能的定义范围过度扩大化会严重影响商业市场的运行效率。本规定指出,“关键信息技术设施”会在“网络安全等级保护制度的基础上”,“实行重点保护”,这意味着对关键信息技术设施可能会建立一个基于网络等保相关标准、并提出附加要求的新认证机制,也未可知。

4、国家安全审查制度

第三十三条规定:“关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查”。从目前的专家分析来看,此处对于网络产品和服务实施的国家安全审查可能不会公开具体的标准和措施,成为一个对外界的黑箱审查制度,从而保障具体的操作者有更大的执行空间,对于安全的标准作出判断,并执行审查,建立无从置疑的市场壁垒。

5、 数据境外传输审查制度

第三十五条规定:“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的公民个人信息和重要业务数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估”。与网安法草案带来的其他认证体系更加关注产品、设备、系统和服务不同,这一制度是针对数据跨境流动的审查制度。跨境数据流动是国际贸易的基础,海量的国际贸易带来的巨量数据跨境流转需求,对于数据境外传输审查制度的设计者和执行者将是极大的智慧和能力的考验。

6、关键基础设施安全年度评估制度

第三十六条规定:“关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次监测评估,并将监测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门”。对于重要信息系统而言,安全评估和安全保护工作是日常必须认真关注和执行的。如何保证每年的安全评估和措施报送相关部门的要求不会流于形式,徒增负担,同时又可能影响真正的日常安全防护是一个需要考虑的问题。

信息来源:蔚蓝天际线、数据人

很赞哦! ()

相关文章

站点信息

  • 建站时间:2022-11-22
  • 网站程序:帝国
  • 主题模板:生活剧场
  • 文章统计:7563 篇
  • 微信公众号:扫描二维码,关注我们
0