400-888-5228

CISSP認(rèn)證是信息安全領(lǐng)域的權(quán)威認(rèn)證,由國(guó)際信息系統(tǒng)安全認(rèn)證協(xié)會(huì)(ISC)2提供。它評(píng)估個(gè)人在信息安全領(lǐng)域的知識(shí)和技能,包括安全管理、安全架構(gòu)、安全工程、安全運(yùn)營(yíng)等方面。獲得CISSP認(rèn)證可以證明持證人具備專業(yè)的信息安全知識(shí)和能力。

  • 中文名CISSP信息安全專家認(rèn)證
  • 英文名Certified Information Security Systems Professional
  • 英文簡(jiǎn)稱CISSP
  • 頒證機(jī)構(gòu)(ISC)2(國(guó)際信息系統(tǒng)安全認(rèn)證協(xié)會(huì))
  • 證書(shū)類別信息安全
  • 同類認(rèn)證CISM、CRISC、CISA

在當(dāng)今這個(gè)信息爆炸的時(shí)代,網(wǎng)絡(luò)安全已經(jīng)成為每個(gè)企業(yè)和組織不可忽視的重要話題。那么,什么是“等?!?,它與我們的日常生活和工作又有什么關(guān)聯(lián)呢?接下來(lái),我們就來(lái)聊聊這個(gè)話題。

01_等保是什么?為什么要做等保?

等保,即信息安全等級(jí)保護(hù),全稱為“信息安全等級(jí)保護(hù)制度”。說(shuō)白了,就是按信息和信息載體的重要程度分保護(hù)級(jí)別,_信息安全。這是咱國(guó)家網(wǎng)絡(luò)安全的基本政策和制度。

什么是等保?為什么做等保?如何做等保?  喊話安全經(jīng)理:你們家的系統(tǒng)通過(guò)“三級(jí)等?!绷藛?? -- 第1張

2019 年《網(wǎng)絡(luò)安全法》實(shí)施后,等保到了 2.0 時(shí)代。新標(biāo)準(zhǔn)強(qiáng)調(diào)全面主動(dòng)防御、動(dòng)態(tài)感知和審計(jì)。它不光管傳統(tǒng)信息系統(tǒng),云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)這些新技術(shù)也管,是全面保護(hù)信息安全。

等保3.0?

目前只有等保1.0或者等保2.0的說(shuō)法,還沒(méi)有等保3.0。一般有人說(shuō)等保3.0,就知道這個(gè)人一定沒(méi)有對(duì)等級(jí)保護(hù)了解清楚,錯(cuò)把三級(jí)等保當(dāng)成了等保3.0。

為什么要做等保?

  • 國(guó)情要求:《網(wǎng)絡(luò)安全法》規(guī)定網(wǎng)絡(luò)運(yùn)營(yíng)者和關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者得按等保要求做,不做輕的罰款,重的負(fù)刑事責(zé)任。這不只是建議,還是法律規(guī)定。
  • 企業(yè)需要:信息化發(fā)展,企業(yè)依賴信息安全,好多重應(yīng)用輕安全,隱患多,網(wǎng)絡(luò)安全事件也常見(jiàn),做好等保保護(hù)企業(yè)利益。
  • 主管單位要求:主管單位監(jiān)管越來(lái)越嚴(yán),像教育部門、衛(wèi)健委、證監(jiān)銀保等部門都有相關(guān)規(guī)定。

02_如何做等保?步驟與流程

一般來(lái)說(shuō),等保的流程包括以下幾個(gè)步驟:

什么是等保?為什么做等保?如何做等保?  喊話安全經(jīng)理:你們家的系統(tǒng)通過(guò)“三級(jí)等?!绷藛幔?-- 第3張

  1. 自主定級(jí):就是自己定級(jí),把資料給當(dāng)?shù)毓矀浒浮?/li>
  2. 差距分析:找專業(yè)機(jī)構(gòu)分析現(xiàn)有安全措施的差距,找隱患。
  3. 整改設(shè)計(jì)與實(shí)施:根據(jù)結(jié)果制定整改方案并實(shí)施,比如買設(shè)備、培訓(xùn)人員。
  4. 等級(jí)測(cè)評(píng):整改完找測(cè)評(píng)機(jī)構(gòu)測(cè)評(píng),看是否達(dá)到安全保護(hù)等級(jí)。
  5. 安全運(yùn)營(yíng):_后就是日常安全運(yùn)營(yíng)維護(hù),_系統(tǒng)一直安全。

什么是等保?為什么做等保?如何做等保?  喊話安全經(jīng)理:你們家的系統(tǒng)通過(guò)“三級(jí)等?!绷藛?? -- 第5張

03_等保測(cè)評(píng)內(nèi)容以及測(cè)評(píng)中需要重點(diǎn)關(guān)注什么

從測(cè)評(píng)內(nèi)容上面來(lái)看,具體分為兩大塊:

(1)安全管理層面:安全策略和管理制度、安全管理機(jī)構(gòu)和人員、安全建設(shè)管理、安全運(yùn)維管理。

(2)安全技術(shù)層面:物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計(jì)算安全、應(yīng)用和數(shù)據(jù)安全。

什么是等保?為什么做等保?如何做等保?  喊話安全經(jīng)理:你們家的系統(tǒng)通過(guò)“三級(jí)等?!绷藛?? -- 第7張

測(cè)評(píng)時(shí)需要重點(diǎn)關(guān)注什么?

  1. 完整性和保密性
    • 網(wǎng)絡(luò)和通信安全的“通信傳輸”控制點(diǎn),還有應(yīng)用和數(shù)據(jù)安全里的“數(shù)據(jù)完整性”和“數(shù)據(jù)保密性”有要求。
    • 測(cè)評(píng)實(shí)施時(shí)需要重點(diǎn)理解:網(wǎng)絡(luò)和通信層面或應(yīng)用和數(shù)據(jù)安全層面實(shí)現(xiàn)一個(gè)就行;重點(diǎn)理解應(yīng)用和數(shù)據(jù)里的“數(shù)據(jù)完整性”和“數(shù)據(jù)保密性”,像鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)、審計(jì)數(shù)據(jù)、配置數(shù)據(jù)、視頻數(shù)據(jù)、個(gè)人信息等的完整性和保密性。
  2. 邊界保護(hù)
    • 源于舊版的“邊界完整性檢查”,有了更完善的要求。
    • 測(cè)評(píng)實(shí)施時(shí)需要重點(diǎn)理解:所有跨邊界的訪問(wèn)和數(shù)據(jù)流得通過(guò)受控端口通信,要考慮網(wǎng)絡(luò)大邊界、不同級(jí)別系統(tǒng)小邊界,還有非授權(quán)的移動(dòng)數(shù)據(jù)上網(wǎng)卡、無(wú)線 WIFI 等;限制無(wú)線網(wǎng)絡(luò)使用,核查無(wú)線網(wǎng)絡(luò)單獨(dú)組網(wǎng)后通過(guò)邊界防護(hù)設(shè)備接入內(nèi)網(wǎng)。
  3. 訪問(wèn)控制(網(wǎng)絡(luò)和通信安全)
    • 和舊版比變化大,重點(diǎn)是安全策略的完善優(yōu)化。
    • 測(cè)評(píng)實(shí)施時(shí)需要重點(diǎn)理解:訪問(wèn)控制設(shè)備_后一條策略是拒絕所有通信;對(duì)進(jìn)出網(wǎng)絡(luò)的內(nèi)容管控要用下一代防火墻。
  4. 入侵防范(網(wǎng)絡(luò)和通信安全)
    • 要防范從外到內(nèi)和從內(nèi)發(fā)起的網(wǎng)絡(luò)攻擊,注重網(wǎng)絡(luò)行為分析。
    • 測(cè)評(píng)實(shí)施時(shí)需要重點(diǎn)理解:看能不能防范內(nèi)部發(fā)起的攻擊;能不能分析新型網(wǎng)絡(luò)攻擊行為。
  5. 集中管控
    • 是新增控制點(diǎn),要求對(duì)分布網(wǎng)絡(luò)中的安全設(shè)備或組件集中管控。
    • 測(cè)評(píng)時(shí)要核查:像遠(yuǎn)程管理是不是加密;有沒(méi)有綜合網(wǎng)管、審計(jì)系統(tǒng);有沒(méi)有集中防病毒、補(bǔ)丁管理系統(tǒng);有沒(méi)有集中的安全事件識(shí)別、報(bào)警和分析系統(tǒng)等等。
  6. 雙因素認(rèn)證
    • 涉及網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)和應(yīng)用系統(tǒng)等。
    • 測(cè)評(píng)實(shí)施時(shí)需要重點(diǎn)理解:雙因素認(rèn)證很重要;網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)適合令牌方式,應(yīng)用系統(tǒng)適合數(shù)字證書(shū)或生物技術(shù);主流堡壘機(jī)主要提供網(wǎng)絡(luò)訪問(wèn)控制和操作審計(jì)功能,不能根本實(shí)現(xiàn)雙因素認(rèn)證。
  7. 其他新增測(cè)評(píng)要求
    • 核查能不能審計(jì)互聯(lián)網(wǎng)訪問(wèn)行為;能不能保護(hù)惡意郵件、垃圾郵件;注重?cái)?shù)據(jù)安全保護(hù)測(cè)評(píng);整個(gè)測(cè)評(píng)要求 IPv6 商用環(huán)境也適用。

04_常見(jiàn)問(wèn)題解答

1.等保是強(qiáng)制性的嗎?

《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第二十一條規(guī)定網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求,履行相關(guān)的安全保護(hù)義務(wù)。同時(shí)第七十六條定義了網(wǎng)絡(luò)運(yùn)營(yíng)者是指網(wǎng)絡(luò)的所有者、管理者和網(wǎng)絡(luò)服務(wù)提供者。等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)雖然為非強(qiáng)制性的推薦標(biāo)準(zhǔn),但網(wǎng)絡(luò)(個(gè)人與家庭網(wǎng)絡(luò)除外)運(yùn)營(yíng)者必須按網(wǎng)絡(luò)安全法開(kāi)展等級(jí)保護(hù)工作。

2.不做等保沒(méi)關(guān)系,只要不出事就行?企業(yè)不做等保有啥處罰?

這可不行!法律明確要求網(wǎng)絡(luò)運(yùn)營(yíng)者履行安全保護(hù)義務(wù),不做等保就是違法,可能面臨罰款甚至刑事責(zé)任。

我們一起看看我國(guó)網(wǎng)絡(luò)安全法的相關(guān)規(guī)定,僅供參考:

第五十九條 網(wǎng)絡(luò)運(yùn)營(yíng)者不履行本法第二十一條、第二十五條規(guī)定的網(wǎng)絡(luò)安全保護(hù)義務(wù)的,由有關(guān)主管部門責(zé)令改正,給予警告;拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的,處一萬(wàn)元以上十萬(wàn)元以下罰款,對(duì)直接負(fù)責(zé)的主管人員處五千元以上五萬(wàn)元以下罰款。

關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者不履行本法第三十三條、第三十四條、第三十六條、第三十八條規(guī)定的網(wǎng)絡(luò)安全保護(hù)義務(wù)的,由有關(guān)主管部門責(zé)令改正,給予警告;拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的,處十萬(wàn)元以上一百萬(wàn)元以下罰款,對(duì)直接負(fù)責(zé)的主管人員處一萬(wàn)元以上十萬(wàn)元以下罰款。

3.等保分為幾級(jí)?企業(yè)如何定級(jí)?

等保測(cè)評(píng)分為五個(gè)級(jí)別,從一到五級(jí)別逐漸升高。等級(jí)越高,說(shuō)明信息系統(tǒng)重要性越高。一般企業(yè)項(xiàng)目多為等保二級(jí)、三級(jí)。對(duì)網(wǎng)絡(luò)安全有特定高要求的軍工、電力、金融等單位應(yīng)符合等保三級(jí)或等保四級(jí);等保一級(jí)和等保五級(jí)(涉密)由于安全性太低或太高,單位或組織少有涉及。

一般開(kāi)展等保的行業(yè)/群體有:

(1)政府機(jī)關(guān):電子政務(wù)網(wǎng)絡(luò);

(2)金融行業(yè):監(jiān)管機(jī)構(gòu),銀行,保險(xiǎn)公司等;

(3)電信行業(yè):各大運(yùn)營(yíng)商;

(4)能源行業(yè):電力(比如xxx電網(wǎng)),石油等;

(5)互聯(lián)網(wǎng)單位:各大企業(yè),上市公司等;

(6)其他有監(jiān)管要求的行業(yè)

什么是等保?為什么做等保?如何做等保?  喊話安全經(jīng)理:你們家的系統(tǒng)通過(guò)“三級(jí)等?!绷藛?? -- 第9張

4.等保與分保有什么區(qū)別?

等保主要由公安部門監(jiān)管,適用于非涉密系統(tǒng),分保則由國(guó)家保密局監(jiān)管,適用于涉密系統(tǒng)。等保分為五個(gè)級(jí)別,而分保分為三個(gè)級(jí)別。分級(jí)保護(hù)與等級(jí)保護(hù)對(duì)應(yīng)關(guān)系:秘密級(jí)對(duì)應(yīng)等保三級(jí)、機(jī)密級(jí)對(duì)應(yīng)等保四級(jí)、絕密級(jí)對(duì)應(yīng)等保五級(jí)。

什么是等保?為什么做等保?如何做等保?  喊話安全經(jīng)理:你們家的系統(tǒng)通過(guò)“三級(jí)等?!绷藛?? -- 第11張

5.系統(tǒng)上云了就不用做等保嗎?

不可以!“誰(shuí)運(yùn)營(yíng)誰(shuí)負(fù)責(zé)”是原則,系統(tǒng)即使上了云,網(wǎng)絡(luò)運(yùn)營(yíng)者仍需對(duì)系統(tǒng)的安全負(fù)責(zé)。

6.等保工作就做測(cè)評(píng)就可以了嗎?

不行!等保是一系列流程,包括定級(jí)、備案、整改、復(fù)測(cè)等,測(cè)評(píng)只是其中一部分。

05_總結(jié)

在信息安全日益重要的今天,等保不僅是法律的要求,也是企業(yè)保護(hù)自身信息安全的重要手段。從定級(jí)、備案到整改和測(cè)評(píng),每一步都至關(guān)重要。

什么是等保?為什么做等保?如何做等保?  喊話安全經(jīng)理:你們家的系統(tǒng)通過(guò)“三級(jí)等?!绷藛?? -- 第13張

對(duì)于許多企業(yè)而言,安全經(jīng)理一般都要承擔(dān)“等?!钡墓ぷ?。在招聘此類關(guān)鍵崗位時(shí),企業(yè)往往會(huì)將 CISSP 或 CISP 等相關(guān)認(rèn)證視為優(yōu)先考慮的條件或加分項(xiàng)。這并非是毫無(wú)緣由的,而是基于多方面的實(shí)際考量。

擁有 CISSP 或 CISP 認(rèn)證的人員,通常在信息安全領(lǐng)域具備更全面、更深入的知識(shí)體系和實(shí)踐技能。他們能夠更好地應(yīng)對(duì)等保工作中的各種復(fù)雜挑戰(zhàn),如精準(zhǔn)識(shí)別系統(tǒng)潛在的安全風(fēng)險(xiǎn),制定切實(shí)有效的防護(hù)策略,確保企業(yè)信息系統(tǒng)符合等保的嚴(yán)格要求。

小艾老師因此推薦大家參加 CISSP信息安全專家認(rèn)證(國(guó)際認(rèn)證)、CISP信息安全從業(yè)人員認(rèn)證(國(guó)內(nèi)本土認(rèn)證)。通過(guò)CISSP或CISP,不僅能系統(tǒng)地學(xué)習(xí)和掌握前沿的信息安全知識(shí),還能提升個(gè)人在行業(yè)內(nèi)的競(jìng)爭(zhēng)力,能夠更好地承擔(dān)起等保等工作。

發(fā)表回復(fù)

您的電子郵箱地址不會(huì)被公開(kāi)。 必填項(xiàng)已用*標(biāo)注

  • 2024-10-30 20:00
    嚴(yán)謹(jǐn)求實(shí):安全評(píng)估和測(cè)試
  • 2024-10-31 20:00
    【延期到11/5】什么是數(shù)據(jù)標(biāo)準(zhǔn)?如何制定數(shù)據(jù)標(biāo)準(zhǔn)?這份指南送上
  • 2024-11-05 20:00
    什么是數(shù)據(jù)標(biāo)準(zhǔn)?如何制定數(shù)據(jù)標(biāo)準(zhǔn)?這份指南送上
  • 2024-11-07 20:00
    職場(chǎng)故事:從文科生到IT領(lǐng)域的轉(zhuǎn)型之路
  • 2024-11-08 14:00
    數(shù)字化人才的“1+X”證書(shū)策略!這樣安排,回報(bào)率最高
  • 2024-11-12 20:00
    流程框架與績(jī)效管理
  • 2024-11-14 20:00
    “一切皆項(xiàng)目”!IT經(jīng)理的項(xiàng)目管理之道
  • 2024-11-19 20:00
    流程體系建設(shè):組織之間的高效協(xié)同,流程管理體系構(gòu)建與落地
  • 2024-11-21 20:00
    神秘莫測(cè):密碼學(xué)和加密解密
  • 2024-11-26 20:00
    職場(chǎng)故事:從在日工作的經(jīng)驗(yàn)教訓(xùn)談職場(chǎng)需要的技能
  • 2024-11-28 20:00
    智能財(cái)務(wù)運(yùn)營(yíng)的未來(lái)視角:RPA與AI技術(shù)的融合應(yīng)用
  • 2024-11-29 14:00
    周五課堂:如何帶團(tuán)隊(duì)?靠什么服眾?那些無(wú)處不在的“軟技能”
  • 更多直播講座
    小艾老師還在安排中…
查看全部 >

掃碼一鍵預(yù)約全部

查看更多 > 查看更多 >

數(shù)字化轉(zhuǎn)型8大核心認(rèn)證

  1. PMP項(xiàng)目管理認(rèn)證

    聽(tīng)
    艾威最近一期班: 針對(duì)2025年03月考試
  2. CBAP業(yè)務(wù)分析認(rèn)證

    聽(tīng)
    艾威最近一期班·開(kāi)課時(shí)間: 2024-11-23
  3. CBPP流程管理認(rèn)證

    聽(tīng)
    艾威最近一期班·開(kāi)課時(shí)間: 2024-12-07
  4. ITIL4 IT管理認(rèn)證

    聽(tīng)
    艾威最近一期班·開(kāi)課時(shí)間: 2024-11-23
  5. TOGAF企業(yè)架構(gòu)認(rèn)證

    聽(tīng)
    艾威最近一期班·開(kāi)課時(shí)間: 2024-12-21
  6. CDMP數(shù)據(jù)管理認(rèn)證

    聽(tīng)
    艾威最近一期班·開(kāi)課時(shí)間: 2024-11-23
  7. CISA信息安全審計(jì)師認(rèn)證

    聽(tīng)
    艾威最近一期班·開(kāi)課時(shí)間: 2024-12-01
  8. CISSP信息安全專家認(rèn)證

    聽(tīng)
    艾威最近一期班·開(kāi)課時(shí)間: 2024-11-16
近期課程安排