夜雨聆风很多单位知道要测,但搞不清楚该测哪些。一份系统,上了一套标准,报告出了,拿去审批,监管部门说"还差这一项"。
问题出在标准组合没做对。不是测一个标准就够,是多个标准按业务属性组合。
一、先搞清楚系统属于哪类
不同系统类型,对应的标准不一样。
基础电信业务系统:运营商自己的核心网、承载网、接入网系统。这类系统是电信业务的核心,受工信部直接监管,入网检测、等保三级是基本配置。
增值电信业务系统:云服务、物联网平台、CDN、IDC等。这类系统按增值电信业务许可证的要求做合规检测,数据安全要求更突出。
政企客户的业务系统:运营商给政府、企业搭建的专网、VPN、云服务。这类系统受最终客户的行业要求约束,比如政务云要过政务云安全规范,金融机构要求要过金融行业等保。
内部支撑系统:运营商自己的CRM、计费、客服、运维平台。这类系统受运营商集团内部的安全管理规定约束,同时要满足个人信息保护法、数据安全法等通用要求。
系统类型不同,标准组合不同。先把自家系统分类,才能对号入座。
二、基础电信业务系统——哪些标准必须过
运营商自有核心网络和基础设施,受工信部直接管理,监管要求最严格。
入网检测
这是硬门槛。设备要进网使用,必须通过工信部授权检测机构做的入网检测。检测内容包括:功能符合性、协议一致性、电磁兼容、安全要求。
软件层面:设备功能实现是否符合技术规范,协议实现是否满足YD/T标准要求,安全配置是否到位。
等保三级
核心网、业务支撑系统、重要业务平台,按等保三级要求测。
等保2.0的通用要求加通信行业扩展要求,网络安全、主机安全、应用安全、数据安全、安全管理五个域,逐项测评。
网络安全审查
关键信息基础设施运营者的采购行为受网络安全审查约束。采购网络产品和服务,如果影响或可能影响国家安全,要主动申报网络安全审查。
这条常被忽略。产品上了运营商的网,但如果属于关键信息基础设施范围,采购前要评估。
数据安全评估
运营商的用户数据规模大,按数据安全法属于重要数据处理者。上线前要做数据安全风险评估,按要求向监管部门报送。
三、增值电信业务系统——重点在数据合规
云服务、物联网平台这类业务,数据处理是核心,合规重点和数据安全相关。
等保二级或三级
看业务规模和影响范围。面向大量用户、业务中断影响明显的,云服务平台的等保等级一般在二级起步,大型平台建议做三级。
数据安全合规
云平台处理大量用户数据,个人信息保护法、数据安全法都有要求。
用户数据的收集范围、存储期限、访问权限、出境限制,要逐项梳理。云平台多租户场景下,数据隔离机制是检测重点。
内容安全(涉及互联网信息服务)
如果业务涉及内容发布、用户生成内容,还要看互联网信息服务管理规定。有内容板块的,要有内容审核机制,违规内容处置记录要保存。
四、政企客户项目——甲方的要求往往更严
运营商给政府、企业做项目,甲方的行业要求往往比通用标准更严格。
政务云
要过政务云安全评估。政务云平台涉及政府数据和政务系统,安全性要求高。检测内容除了通用等保要求,还包括政务数据安全规范、政务云安全监测要求。
金融机构
金融行业等保要求比其他行业高。如果运营商给金融机构提供云服务或专网,要满足金融行业等保要求,检测机构要有金融行业检测资质。
大型企业
大型企业的数字化系统有自己的安全要求。检测时除了通用标准,还要满足甲方指定的标准或框架。有些甲方会要求额外的渗透测试或代码审计。
五、内部支撑系统——数据合规是核心
运营商自己的CRM、计费、客服等内部系统,检测要求没有入网检测那么刚性,但数据合规压力不低。
个人信息保护合规
计费系统有用户账单数据,客服系统有通话记录,营销系统有用户联系方式。
这些数据的收集是否经过用户同意,存储期限是否与声明一致,访问权限是否按最小必要原则配置,删除机制是否有效——这些是个人信息保护合规检测的重点。
等保二级
内部支撑系统一般过等保二级。要求比三级低,但基本的安全防护要到位。
内部安全审计
运营商集团内部有安全审计要求。日志留存、操作审计、权限变更记录,这些要符合内部安全规范。
六、出海业务——目标市场的法规要求
运营商也有出海业务。云服务、数据中心、跨境专线,这类业务出了境,监管要求就变成目标市场的。
GDPR(欧盟)
用户数据在欧盟境内处理的,要满足GDPR。云服务出海到欧洲,个人信息保护要符合欧盟要求,数据出境要有合法机制。
数据本地化(部分国家)
有些国家要求特定数据本地化存储,不能出境。出海前要搞清楚目标市场的数据本地化要求。
合规认证
目标市场可能有行业认证要求。比如SOC 2报告、ISO 27001认证,有些甲方市场或监管机构会要求提供。
七、标准这么多,怎么组合
一个系统往往不只测一个标准。标准怎么组合,按以下逻辑走:
第一步:确定业务类型
是基础电信业务、增值电信业务、政企项目还是内部支撑。业务类型决定主框架。
第二步:确定数据敏感度
涉及个人信息、商业秘密、政务数据,还是普通业务数据。数据敏感度决定数据安全标准的深度。
第三步:确定监管归属
工信部管基础电信和增值电信,政企客户项目受甲方行业监管,内部系统按集团内部要求。监管归属决定检测机构资质要求。
第四步:确定出海需求
有出海业务的,目标市场的法规要求加入标准组合。
八、常见问题
测了一个标准,监管部门说还差
这种情况很常见。原因是标准组合没做全。按上面的步骤,对照自家系统的业务类型和数据敏感度,先把标准清单拉全,再开始测。
检测机构资质不够
报告出了,监管部门不认。常见原因:检测机构没有对应资质。比如要做金融行业等保,检测机构要有金融行业检测资质。
甲方要求加码
政企项目,甲方临时加要求,项目周期被拉长。原因是甲方的行业要求没有在项目启动前确认清楚。政企项目投标前,把甲方的行业合规要求先问清楚。
我们有CMA资质认定、CNAS实验室认可。
工控软件功能测试 · 功能安全SIL验证 · 等保2.0工业系统测评 · OT网络渗透测试 · 安全评估报告 · 整改咨询
有需要直接留言,说清楚产品类型和需求,我们一个工作日内出方案。
