等级保护定位逐渐清晰,作为监管机构管理企业网络安全的合规审计工具,未来会结合相关法规发挥更大作用。如《网络安全法》、《数据安全法》、《关键信息基础设施安全保护条例》《网络数据安全管理条例(征求意见稿)》中均明确,需在等级保护制度基础上开展相关领域安全工作;《个人信息保护法》则规定国家网信部门组织对应用程序等个人信息情况进行测评,具有一定关联。
等级保护也已经纳入各类业务合规认证机制。开展新的业务类型通常需要在相关行业监管机构进行备案,流程一般都需要提供系统等级保护备案证明,甚至要求提供测评报告。普通APP自不必说,其他民生类服务,如教育部发布《教育移动互联网应用程序备案管理办法》、人力资源社会保障部办公厅发布《电子劳动合同订立指引》均明确要求相关信息系统需等级保护备案制。
基于上述背景,等级保护已属于普适度较高的安全合规管理类工作,且等级保护测评的市场机制已经比较成熟。对于已将等保工作流程化的成熟IT企业,已经进入等级保护在内部落地的关卡,因此通过本文初步探讨,欢迎留言交流。
笔者胡乱猜测,目前等保工作在企业内部运作过程,可能只是测评机构安排了定级备案测评一条龙,测评得分不拔尖也不丢人,业务有需求就转发一下备案证明和报告。和信息安全团队自身工作与业务需求关联不紧密。
而理想情况的落地,也就是需要做到“安全三同步”,意即:
然而,通常等保工作由安全工程师兼任,若达成上述效果明显缺乏技术较全面的安全人才(和预算),所以,评估等保落地的核心矛盾在于:虽然等级保护水平以系统为评估单元,但在企业内部的实施角色是多职能、跨部门的,因此等保建设工作的衡量尺度并不是从0到1,也不是从1到10,而是需要自己先深刻了解内部不同等级的系统安全能力、建设能力水位,并辨别差异。
如果和笔者一样,得从半截开始,建议可以学习监管工作思路,建立企业等保系统报备的管理流程。先从建立制度切入,将在项目管理体系中,融入系统等级保护备案制,先将系统立项、等保报备、开发与上线、监督检查的工作责任固化,各岗位及职能均在自身工作基础上,新增等级保护职能,接受度更友好。当然,等级保护安全整改也更容易界定了,对于安全工程师技能要求最后讨论。
那么,说到各职能工作,就涉及到等级保护技术标准中各条款与岗位对应关系。因为各行业、岗位职能均存在差异,还是需要自己凭借工作经验去绘制模型,几百字说不完。笔者用脑图简单展示企业内部岗位,除了本职工作以外的的等级保护工作关键点供参考。
除了上述已确定的业务合规准入,拿最近的网络安全法规热点聊聊与等保的衔接方式。
个人信息保护方面,虽然不涉及偏向业务的知情-同意的合规设计,但是如果系统已被识别为存储、使用个人信息,系统存储加密机制、系统之间的传输加密机制必然会安全测评,倒推业务整改。
关键信息基础设施方面,普通企业可能不涉及,猜测对于省市级关基单位,可能参考三级等级保护检查项进行抽查,并发文整改。
数据安全方面审查依据主要是《网络安全审查办法》和尚未出台的数据安全审计制度,虽然近期主要聚焦于跨境审查,但近期网信办发布《网络数据安全管理条例(征求意见稿)》已经明确数据处理系统、数据传输网络、数据存储环境等安全防护安全机制需参考等级保护要求,同时《条例》第七章中规定网信部门、公安机关负责数据安全监管职责,与等级保护制度监管格局一致,猜测工作机制会有重叠。
诸如SOX、SOC等IT内控审计,鉴于方法论整体偏向业务流程内部控制,工作机制主要为提供证明材料,虽然近年也不乏安全咨询类服务,但整体对技术安全风险评估支撑能力不足。如果等级保护涵盖数据安全评估,IT审计对等级保护测评可能会产生依赖。
上文分析了企业内部工作机制的变化,对于企业与监管机构之间的等级保护工作流程,猜测也会一些调整。
首先是备案内容细化,目前等级保护以企业为单位在网安进行备案登记,大概率不会再新增填报用系统,而是复用等保备案系统,以等保系统维度去统计、标记相关信息。
至于测评机制,恰巧在笔者撰文期间,国家等保办宣布撤销网络安全等级测评机构推荐证书,意味着市场化经营。这对企业来说当然是利好,对于想认真落地等级保护工作的企业来说,一个优秀的测评师至关重要,而优质人才无需锁在头部测评机构,只要个人价值凸显,企业选择测评机构时不需要考虑准入要求。
近期供应链安全已成为热点,等级保护测评中本身就对企业采用的软件产品和厂商进行了登记,如果对软件供应链进行安全评估,肯定能作为第一笔资料。让我们拭目以待。
要做这件事,肯定要对各个技术领域安全知识达到“了解”程度,不能像个远古人加入商务精英群聊,起码人家聊到的技术名词能知道功能和作用。这点只能安全工程师自己攻破。只聊软实力。
首先,把上面这些工作,区分出不同层级、职能的沟通对象,说清楚如果要落地,哪些事必须做,哪些事需要做,哪些事可以做。为了把这件事能够达成一致,需要一些谈判技巧,一些沟通技巧。
然后,涉及到具体等级保护工作检查时,需要一点审计技巧,一点安全咨询技巧。
事儿干了,还得汇报。汇报也分三个对象,要对安全负责人讲清楚等级保护维度的安全水位,把等级保护当做跨部门协作的桥梁和合规工具,争取资源;对业务管理者,要有能力讲出合规价值,符合业务规划利益诉求。对监管机构的汇报,要以对方角度去考虑问题,保持敬畏之心,能够让监管机构对企业安全的“戒心”与“放心”取得平衡,不糊弄了事。
关于企业落地等级保护,笔者只是蜻蜓点水的闲聊,期待未来有更多大佬开始考虑这个方向,共促安全生态建设。