网络安全评估标准实用手册
上QQ阅读APP看本书,新人免费读10天
设备和账号都新为新人
上一章目录下一章

第1章 网络安全评估标准设计和使用说明

2017年6月1日起《中华人民共和国网络安全法》施行,维护网络安全终于有法可依;2017年8月中共中央出台《党委(党组)网络安全工作责任制实施办法》,明确提出班子主要负责人是网络安全的第一负责人,承担主要领导责任,主管网络安全的领导班子成员是直接负责人,承担重要领导责任;2019年4月国务院国资委在《中央企业负责人经营业绩考核办法》中首次将网络安全事件与生产安全责任事故并重调查和考核;2020年1月1日起《中华人民共和国密码法》施行;2021年9月1日起《中华人民共和国数据安全法》《关键信息基础设施安全保护条例》施行;2021年11月1日起《中华人民共和国个人信息保护法》施行;2022年2月15日起《网络安全审查办法》施行。这一系列法律法规的颁布和施行,标志着“依法治网”的态势和基础已经夯实。

从2018年开始,贯彻落实相关法律法规的一系列网络安全标准也陆续颁布。其中,《信息安全技术 网络安全等级保护基本要求》(GB/T 22239—2019)和《信息安全技术 网络安全等级保护测评要求》(GB/T 28448—2019),构成了国家网络安全等级保护2.0标准体系的核心,成为促进和支撑政府部门和各行各业有效开展网络安全等级保护定级、测评、整改和持续提升网络安全保障能力的基础标准,成为贯彻落实“网络安全三同步”“提升网络系统本体安全水平”“构建常态化实战化网络安全综合防御体系”的工作依据。其他配套的国家或行业级的网络安全等级保护基本要求和实施指南、信息系统密码应用基本要求、网络安全等级保护大数据基本要求、各领域的高风险判定指引,金融和广电等行业的网络安全等级保护基本要求、测评要求,工业控制系统的安全控制和安全检查指南,电力行业的《电力监控系统网络安全防护评估导则》和《电力监控系统网络安全评估指南》,也相继发布实施,为政府和各行各业网络安全工作的开展提供了更加专业、翔实和有效的技术指引。

然而,在实际工作实践中,由于这些法律法规和技术标准从文本结构上自成体系,无论是网络安全的领导者或管理者,还是一线的网络安全从业人员,要想快速了解和全面掌握与自身履职尽责密切相关的法律条款、条例规定或技术标准、规范要求,却是一件十分不容易的事情。这对于有效贯彻落实国家网络安全法律法规和条例的相关要求,从规划设计的源头有效落实一系列网络安全国家标准和行业最佳实践,是非常不利的。因此,对网络安全法律法规和主要技术标准进行全面梳理、系统设计和重新归类编排,以满足政府和各行各业网络安全的领导者、管理者,以及各类网络安全从业者的使用需求,是十分必要的。

实践证明,国际核能行业在核安全管理和工程建设管理等领域开展同行评估,对于提升全球核电厂核安全管理水平,发挥了积极和重要的作用,得到了全球核能界的广泛认同。结合笔者在核能企业网络安全管理和一线工作中的实践和经验反馈,本书将国际核能领域开展核安全同行评估的理念、体系、方法和最佳实践,引入网络安全领域,尝试在网络安全领域进行一种工作模式的新探索,与网络安全等级保护和等级测评等技术标准及日常工作有机结合,形成互补优势。

同行评估(Peer Review)是指在组织单位的统一协调下,由受评方之外的同行专家组成评估团队,对受评方指定的评估领域,如运行安全与管理、工程建设与管理等功能及交叉领域,实施综合或专项评估,找出管理强项和待改进项,强项供行业共享,待改进项提交受评方作为实施改进行动的输入,并根据受评方的要求对待改进领域的纠正行动进行跟踪回访,以实现受评方在该评估领域中开展持续改进和以追求卓越为目标的行业自律管理活动。

同行评估提倡的“聚焦管理”“追求卓越”“持续提升各级管理者业绩目标”的评估理念和工作目标,可谓切中当前“网络安全领导力不足、网络安全管理体系不完善、技术体系和措施执行不到位、重技术轻管理、重投产后修补加固轻本体安全源头设计、重当前头痛医头轻持续能力提升、重数字化建设轻网络安全建设和运维监测”等许多共性顽症,对于积极促进、务实指导网络安全等级保护和关键信息基础设施保护工作,有效落实国家相关法规、条例和技术标准,提升网络本体安全水平和管理本质安全水平,有效应对实战化和常态化的网络安全挑战,具有很好的现实意义和实际价值。

为有效实现网络安全同行评估的工作目标,聚焦发现网络安全管理缺陷,全面反映网络安全领域最新和最佳行业业务实践,为各级管理者不断追求卓越而设立具有挑战性的管理绩效目标,网络安全评估标准的设计是非常核心和基础性的工作。网络安全评估标准的设计,应充分借鉴国内外在核能行业开展同行评估的成功实践,着力于网络安全业绩目标与准则的设计,以便真正体现同行评估这种方法的优势,与受评方网络安全自评估、网络安全等级保护测评和行业主管部门监督检查等方式方法形成互补优势,以便更有效地系统支撑、推进各行业和企业网络安全保障能力的持续提升。

在国际核能领域开展同行评估,领域业绩目标与准则是相关人员进行同行评估时使用的最核心的评估标准。领域业绩目标与准则应凝聚相应行业在该评估领域中的最佳管理实践,全面系统地明确待评估领域及其子领域所追求的管理绩效目标,作为有效开展现场评估工作的指导性文件。受评方也可以以此评估标准为基础,开展自评估,指导整改提升计划的编制与实施。为此,参考国际核能行业同行评估业绩目标与准则的设计思路和方法,同时本着便于读者快速了解和全面掌握与自身履职尽责密切相关的有关法律条款、条例规定或技术标准规范要求的目的,本章着重介绍网络安全评估标准的设计原则、基本思路、设计依据和总体结构。

上一章目录下一章