網絡安全等級保護:網絡產品和服務安全通用要求之一般安全要求
在我國境內銷售或提供的所有網絡產品和服務必須滿足一般安全要求,其中網絡關鍵設備和網絡安全專用產品還必須滿足增強安全要求。網絡關鍵設備和網絡安全專用產品范圍,具體參照國家互聯網信息辦公室、工業和信息化部、公安部、國家認證認可監督管理委員會聯合印發的《關于發布<網絡關鍵設備和網絡安全專用產品目錄>的公告》。網絡關鍵設備和網絡安全專用產品試看《網絡關鍵設備和網絡安全專用產品目錄(第一批)》詳細如下:
一般安全要求
a) 在網絡產品和服務的設計、開發環節識別安全風險,制定安全策略,采取適當的安全措施保障關鍵組件的設計和開發安全,網絡產品和服務在交付前必須進行了安全性測試,控制安全風險;
b) 建立和執行針對網絡產品和服務安全缺陷、漏洞的應急響應機制和流程;
c) 在發現網絡產品和服務存在安全缺陷、漏洞時,立即采取修復或替代方案等補救措施,按照國家網絡安全監測預警和信息通報制度等規定,及時告知用戶安全風險,并向有關主管部門報告。
g) 制定個人信息泄露應急預案,當發生個人信息泄露事件時,采取有效措施降低用戶的損失。
文章開始,我們提到了在我國境內銷售或提供的所有網絡產品和服務必須滿足一般安全要求,其中網絡關鍵設備和網絡安全專用產品還必須滿足增強安全要求。也就是在我國所有網絡產品和服務皆需要滿足一般安全要求,同時,我也經常強調一點,那就是在網絡安全等級保護測評中如何理解每條測評的要求,不能根據腦海中的一些淺薄知識望文生義,盡量能夠以標準釋標準。在實際操作中,無論是建設整改方案時期還是等級測評時期,充分理解標準要求,既可以滿足合規性,也可以避免客戶過度投入。
網絡安全等級保護是一個網絡安全領域合規的一個基本條件,而網絡安全等級保護是體系化的工作,需要安全監管部門、行業主管單位(部門)、安全服務商、網絡運營者、測評機構多方參與,而又需要各司其職。充分理解等級保護工作的重要性的同時,也需要各方都對等級保護有個充分的認知,同時各方又能提供足夠專業符合等級保護工作的服務及售后服務。
-
《信息安全技術 網絡產品和服務安全通用要求》 -
網絡關鍵設備和網絡安全專用產品目錄(第一批) -
《信息技術服務運行維護 第1部分:通用要求》 -
《信息技術服務 運行維護 第2部分:交付規范》 -
《信息技術服務運行維護第3部分:應急響應規范》
-
《信息安全技術信息安全服務分類》等
