【摘要】网络安全法实施以来,特别是网络安全等级保护标准2.0出台以来,航保基层单位积极推进本单位网络安全等级保护建设。本文首先分析航保基层单位网络安全管理的现状,其次对照等保2.0标准存在的问题,进而结合业务实际提出构建航保基层单位网络安全等级保护的建设方案和思路,为今后提供参考。
【关键词】航保基层单位 等级保护 建设
引言
2017年6月1日正式实施的《网络安全法》中第二十一条明确提出:国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行一定的安全保护义务。网络安全等级保护的对象包括信息系统(含采用移动互联技术的系统)、云计算平台、基础信息网络等。对于航保基层单位而言,需要进行网络安全等级保护的一般对象就是信息系统,即与办公业务相关的应用系统,包括手机端应用。
- 网络安全等级保护2.0标准的出台
相比于2008年以后相继出台的信息系统安全等级保护系列标准,今年5月出台的《网络安全等级保护基本要求》等一系列国家标准称为网络安全等级保护2.0标准(以下简称“等保2.0标准”),从制度执行层面上的巨大差别在于,等保1.0由公安部主导,自主建设为主,执行力度不够。此次出台网络安全法为网络领域的基础性法律,并在法律层面确立了网络安全等级保护在网络安全领域的基础、核心地位,出台等保2.0标准后,从严格意义上来说,不做等保等于违法。同时,等级保护的对象也有具体的信息系统扩展到全面网络空间的安全。由此来看,航保基层单位的等保建设工作刻不容缓。
- 航保基层单位在网络安全管理方面的现状
随着近年来业务信息化程序的迅速提升,航保基层单位一般性业务的正常开展已经离不开信息系统和信息网络。在网络安全管理方面的现状主要表现在以下几个方面:
2.1 对于本单位网络安全的重视程度不够
由于航保基层单位属于非涉密单位,在信息系统管理方面,一般不存在涉密网络或涉密系统,受传统惯性思维的影响,认为航保基层单位的网络安全管理只是单位信息化管理工作中的一个环节,对网络安全管理重要性的总体把握和客观认识不足。
近几年以来,全球范围内网络攻击时间频发,特别是今年以来,网络攻击事件的数量不断增多,影响范围也更加广泛。如果抱着“能用就好”或者“头痛医头脚痛医脚”的侥幸心理,网络安全管理将面临巨大风险。
2.2 网络安全管理制度不够完善
在信息化工作中,虽然部分航保基层单位采用“信息安全管理体系”开展每年内审和外审工作,但网络安全管理方面的制度显得较为零散,不成体系,例如缺乏与信息资产、运维工作相关的制度规范,这将导致网络运维方面的操作不够规范,较为随意,从而对信息化系统和信息网络的运行造成隐患和风险。
2.3 网络安全相关的培训力度不够
网络安全工作是我国实现网络强国目标的重要保障,网络安全管理人才的培养力度还需进一步加强,尤其在等保2.0标准出台后,各单位亟需开展等保建设工作,当务之急是相关管理理论和技术知识的更新培训工作。只有各单位网络管理人员清楚了解到等保工作的各项管理和技术环节后,才能按要求切实推进本单位等保建设工作。
- 对标网络等保2.0,分析存在的问题
人员 技术 设备 制度 环境
- 提出构建网络安全等级保护的建设方案
评论已关闭