CISSP認證是信息安全領域的權威認證,由國際信息系統(tǒng)安全認證協(xié)會(ISC)2提供。它評估個人在信息安全領域的知識和技能,包括安全管理、安全架構、安全工程、安全運營等方面。獲得CISSP認證可以證明持證人具備專業(yè)的信息安全知識和能力。
- 中文名CISSP信息安全專家認證
- 英文名Certified Information Security Systems Professional
- 英文簡稱CISSP
- 頒證機構(ISC)2(國際信息系統(tǒng)安全認證協(xié)會)
- 證書類別信息安全
- 同類認證CISM、CRISC、CISA
在當今這個信息爆炸的時代,網(wǎng)絡安全已經(jīng)成為每個企業(yè)和組織不可忽視的重要話題。那么,什么是“等保”,它與我們的日常生活和工作又有什么關聯(lián)呢?接下來,我們就來聊聊這個話題。
01_等保是什么?為什么要做等保?
等保,即信息安全等級保護,全稱為“信息安全等級保護制度”。說白了,就是按信息和信息載體的重要程度分保護級別,_信息安全。這是咱國家網(wǎng)絡安全的基本政策和制度。
2019 年《網(wǎng)絡安全法》實施后,等保到了 2.0 時代。新標準強調全面主動防御、動態(tài)感知和審計。它不光管傳統(tǒng)信息系統(tǒng),云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)這些新技術也管,是全面保護信息安全。
等保3.0?
目前只有等保1.0或者等保2.0的說法,還沒有等保3.0。一般有人說等保3.0,就知道這個人一定沒有對等級保護了解清楚,錯把三級等保當成了等保3.0。
為什么要做等保?
- 國情要求:《網(wǎng)絡安全法》規(guī)定網(wǎng)絡運營者和關鍵信息基礎設施運營者得按等保要求做,不做輕的罰款,重的負刑事責任。這不只是建議,還是法律規(guī)定。
- 企業(yè)需要:信息化發(fā)展,企業(yè)依賴信息安全,好多重應用輕安全,隱患多,網(wǎng)絡安全事件也常見,做好等保保護企業(yè)利益。
- 主管單位要求:主管單位監(jiān)管越來越嚴,像教育部門、衛(wèi)健委、證監(jiān)銀保等部門都有相關規(guī)定。
02_如何做等保?步驟與流程
一般來說,等保的流程包括以下幾個步驟:
- 自主定級:就是自己定級,把資料給當?shù)毓矀浒浮?/li>
- 差距分析:找專業(yè)機構分析現(xiàn)有安全措施的差距,找隱患。
- 整改設計與實施:根據(jù)結果制定整改方案并實施,比如買設備、培訓人員。
- 等級測評:整改完找測評機構測評,看是否達到安全保護等級。
- 安全運營:_后就是日常安全運營維護,_系統(tǒng)一直安全。
03_等保測評內容以及測評中需要重點關注什么
從測評內容上面來看,具體分為兩大塊:
(1)安全管理層面:安全策略和管理制度、安全管理機構和人員、安全建設管理、安全運維管理。
(2)安全技術層面:物理和環(huán)境安全、網(wǎng)絡和通信安全、設備和計算安全、應用和數(shù)據(jù)安全。
測評時需要重點關注什么?
- 完整性和保密性
- 網(wǎng)絡和通信安全的“通信傳輸”控制點,還有應用和數(shù)據(jù)安全里的“數(shù)據(jù)完整性”和“數(shù)據(jù)保密性”有要求。
- 測評實施時需要重點理解:網(wǎng)絡和通信層面或應用和數(shù)據(jù)安全層面實現(xiàn)一個就行;重點理解應用和數(shù)據(jù)里的“數(shù)據(jù)完整性”和“數(shù)據(jù)保密性”,像鑒別數(shù)據(jù)、重要業(yè)務數(shù)據(jù)、審計數(shù)據(jù)、配置數(shù)據(jù)、視頻數(shù)據(jù)、個人信息等的完整性和保密性。
- 邊界保護
- 源于舊版的“邊界完整性檢查”,有了更完善的要求。
- 測評實施時需要重點理解:所有跨邊界的訪問和數(shù)據(jù)流得通過受控端口通信,要考慮網(wǎng)絡大邊界、不同級別系統(tǒng)小邊界,還有非授權的移動數(shù)據(jù)上網(wǎng)卡、無線 WIFI 等;限制無線網(wǎng)絡使用,核查無線網(wǎng)絡單獨組網(wǎng)后通過邊界防護設備接入內網(wǎng)。
- 訪問控制(網(wǎng)絡和通信安全)
- 和舊版比變化大,重點是安全策略的完善優(yōu)化。
- 測評實施時需要重點理解:訪問控制設備_后一條策略是拒絕所有通信;對進出網(wǎng)絡的內容管控要用下一代防火墻。
- 入侵防范(網(wǎng)絡和通信安全)
- 要防范從外到內和從內發(fā)起的網(wǎng)絡攻擊,注重網(wǎng)絡行為分析。
- 測評實施時需要重點理解:看能不能防范內部發(fā)起的攻擊;能不能分析新型網(wǎng)絡攻擊行為。
- 集中管控
- 是新增控制點,要求對分布網(wǎng)絡中的安全設備或組件集中管控。
- 測評時要核查:像遠程管理是不是加密;有沒有綜合網(wǎng)管、審計系統(tǒng);有沒有集中防病毒、補丁管理系統(tǒng);有沒有集中的安全事件識別、報警和分析系統(tǒng)等等。
- 雙因素認證
- 涉及網(wǎng)絡設備、安全設備、操作系統(tǒng)和應用系統(tǒng)等。
- 測評實施時需要重點理解:雙因素認證很重要;網(wǎng)絡設備、安全設備、操作系統(tǒng)適合令牌方式,應用系統(tǒng)適合數(shù)字證書或生物技術;主流堡壘機主要提供網(wǎng)絡訪問控制和操作審計功能,不能根本實現(xiàn)雙因素認證。
- 其他新增測評要求
- 核查能不能審計互聯(lián)網(wǎng)訪問行為;能不能保護惡意郵件、垃圾郵件;注重數(shù)據(jù)安全保護測評;整個測評要求 IPv6 商用環(huán)境也適用。
04_常見問題解答
1.等保是強制性的嗎?
《中華人民共和國網(wǎng)絡安全法》第二十一條規(guī)定網(wǎng)絡運營者應當按照網(wǎng)絡安全等級保護制度的要求,履行相關的安全保護義務。同時第七十六條定義了網(wǎng)絡運營者是指網(wǎng)絡的所有者、管理者和網(wǎng)絡服務提供者。等級保護相關標準雖然為非強制性的推薦標準,但網(wǎng)絡(個人與家庭網(wǎng)絡除外)運營者必須按網(wǎng)絡安全法開展等級保護工作。
2.不做等保沒關系,只要不出事就行?企業(yè)不做等保有啥處罰?
這可不行!法律明確要求網(wǎng)絡運營者履行安全保護義務,不做等保就是違法,可能面臨罰款甚至刑事責任。
我們一起看看我國網(wǎng)絡安全法的相關規(guī)定,僅供參考:
第五十九條 網(wǎng)絡運營者不履行本法第二十一條、第二十五條規(guī)定的網(wǎng)絡安全保護義務的,由有關主管部門責令改正,給予警告;拒不改正或者導致危害網(wǎng)絡安全等后果的,處一萬元以上十萬元以下罰款,對直接負責的主管人員處五千元以上五萬元以下罰款。
關鍵信息基礎設施的運營者不履行本法第三十三條、第三十四條、第三十六條、第三十八條規(guī)定的網(wǎng)絡安全保護義務的,由有關主管部門責令改正,給予警告;拒不改正或者導致危害網(wǎng)絡安全等后果的,處十萬元以上一百萬元以下罰款,對直接負責的主管人員處一萬元以上十萬元以下罰款。
3.等保分為幾級?企業(yè)如何定級?
等保測評分為五個級別,從一到五級別逐漸升高。等級越高,說明信息系統(tǒng)重要性越高。一般企業(yè)項目多為等保二級、三級。對網(wǎng)絡安全有特定高要求的軍工、電力、金融等單位應符合等保三級或等保四級;等保一級和等保五級(涉密)由于安全性太低或太高,單位或組織少有涉及。
一般開展等保的行業(yè)/群體有:
(1)政府機關:電子政務網(wǎng)絡;
(2)金融行業(yè):監(jiān)管機構,銀行,保險公司等;
(3)電信行業(yè):各大運營商;
(4)能源行業(yè):電力(比如xxx電網(wǎng)),石油等;
(5)互聯(lián)網(wǎng)單位:各大企業(yè),上市公司等;
(6)其他有監(jiān)管要求的行業(yè)
4.等保與分保有什么區(qū)別?
等保主要由公安部門監(jiān)管,適用于非涉密系統(tǒng),分保則由國家保密局監(jiān)管,適用于涉密系統(tǒng)。等保分為五個級別,而分保分為三個級別。分級保護與等級保護對應關系:秘密級對應等保三級、機密級對應等保四級、絕密級對應等保五級。
5.系統(tǒng)上云了就不用做等保嗎?
不可以!“誰運營誰負責”是原則,系統(tǒng)即使上了云,網(wǎng)絡運營者仍需對系統(tǒng)的安全負責。
6.等保工作就做測評就可以了嗎?
不行!等保是一系列流程,包括定級、備案、整改、復測等,測評只是其中一部分。
05_總結
在信息安全日益重要的今天,等保不僅是法律的要求,也是企業(yè)保護自身信息安全的重要手段。從定級、備案到整改和測評,每一步都至關重要。
對于許多企業(yè)而言,安全經(jīng)理一般都要承擔“等?!钡墓ぷ?。在招聘此類關鍵崗位時,企業(yè)往往會將 CISSP 或 CISP 等相關認證視為優(yōu)先考慮的條件或加分項。這并非是毫無緣由的,而是基于多方面的實際考量。
擁有 CISSP 或 CISP 認證的人員,通常在信息安全領域具備更全面、更深入的知識體系和實踐技能。他們能夠更好地應對等保工作中的各種復雜挑戰(zhàn),如精準識別系統(tǒng)潛在的安全風險,制定切實有效的防護策略,確保企業(yè)信息系統(tǒng)符合等保的嚴格要求。
小艾老師因此推薦大家參加 CISSP信息安全專家認證(國際認證)、CISP信息安全從業(yè)人員認證(國內本土認證)。通過CISSP或CISP,不僅能系統(tǒng)地學習和掌握前沿的信息安全知識,還能提升個人在行業(yè)內的競爭力,能夠更好地承擔起等保等工作。