昨天,我们用《》,在规划设计阶段完成定级备案,是满足的“同步规划”工作的不可或缺的重要环节。接下来就是备案单位就需要根据最终备案确定的安全保护等级,开展安全建设管理,安全建设就设计安全管理措施与安全技术措施实现,这里叮叮当当可能要很长一段时间。这个过程考验的是运营者与第三方集成或者服务单位的能力,这个阶段的质量直接关乎后期测评结果。首先,责任单位根据新版定级报告模板与《定级指南》开展安全等级保护定级,形成定级报告。根据定级结果结合单位实际,填写备案表及备案表所需其他资料,到公安机关网安部门备案。其次,拿到备案后。作为责任单位需要根据备案后确定的安全等级,实施或调整设计方案,以满足对应安全保护等级的安全要求,分别从安全管理措施、安全技术措施两大方面,然后安全管理措施逐步分解为安全管理制度、安全管理机构、安全人员管理、安全建设管理、安全运维管理五个方面;安全技术措施分解为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心五个方面。然后,再在每个方面对应安全要求项,逐一满足安全要求,形成详细的安全实施方案,并经过方案评审后,采取工程化管理方法,严格按照方案执行。执行过程中,加强过程管理,留存好充足的施工证据,为后期测评打好基础。那么,我们今天重点不谈等级保护建设内容,我们还是聊聊测评工作开展。今天聊测评机构如何更好的满足属地网安部门监管问题,或者说应该如何主动解决机构自身合规问题。我们说网络安全等级保护五个规定动作,相互影响。监督检查贯穿前四个规定动作。测评机构在被测评单位开展测评,必然要受到属地公安机关网安部门监管。我通过《关于进一步做好网络安全等级保护有关工作的函》(公网安〔2025〕1001号)与《网络安全等级测评与检测评估机构自律规范》,整理了下图。这里涉及到销售人员签署合同时间问题,所以作为测评机构的销售人员,不可以大鸣大放,需要先期完成合同的签订,录入项目等级管理系统,这样测评机构的测评师项目组,才能合规的进入测评项目实施。根据《网络安全等级测评与检测评估机构自律规范》要求,第八条明确规定:测评项目采取登记管理。会员单位在实施测评项目之前,须将测评项目信息及时、准确地填报到网络安全等级保护测评项目登记管理系统(以下简称“项目管理系统”)。会员单位应于测评活动(含异地测评项目)实施前5个工作日内,通过项目管理系统填报测评项目基本情况,不得于测评项目完成后进行补录。由于项目实施变更导致已登记信息与实际情况不符的,应及时修改并说明理由。
当销售人员签订测评服务合同前,应当第一时间与被测评单位沟通其定级备案情况,充分了解定级备案情况后,能够详细列出需要测评的系统及对应级别,初步估计工作量一面合同签订施工周期无法满足,产生商业纠纷。当销售人员签订测评服务合同后,应当第一时间与被测评单位沟通备案证明扫描件及其他需要录入项目等级管理系统的信息。同时,沟通签署《委托测评协议书》,这样技术人员才能合法合规的接触被测单位的资料,开展调研等工作;同时,在测评过程中,需要与技术项目组保持良好沟通协调与被测单位配合项目组保持良好的沟通协调,沟通协调贯穿整个测评过程。当然,项目组长也需要与被测评单位以及销售保持良好的沟通协调。沟通协调是一个销售人员与项目组长必备的基础能力!销售人员及测评机构老板应谨记:项目等级管理系统原则不能补录,一旦不能按照要求录入,可能为测评机构每年的飞行检查带来风险。过多的不按照要求的项目信息录入,或录入项目信息与实际开展测评活动情况不一致,甚至可能威胁到测评机构的资质。所以,老板们啊!别天天嘴里喊着“我不在乎过程,我只要结果”,结果可能就是你测评机构的资质出现风险,作为老板需要综合考量销售传递过来的压力,在一单和一年十年间做个抉择,而不是直接把问题都甩给一线技术人员处理。因为需要“会员单位应于测评活动(含异地测评项目)实施前5个工作日内,通过项目管理系统填报测评项目基本情况,”,所以从要求视角看未通过审核的项目原则上是没办法进场开展工作的,特别是现场测评工作更需要在取得被测评单位授权后,方可开展工作。否则,一旦出现问题,可能面临法律风险。所以,一个比较合规的时间线是:责任单位去备案,备案完成进入建设期,建设完成上线前,开展等级测评。开展等级测评以签订合同为开始,测评机构录入项目管理系统,然后是省级等级保护管理部门审批(五个工作日未审批,自动通过),测评机构出具项目录入审批通过信息(建议报属地公安网安部门)、进场开展等级保护测评(含准备、调研、方案、现场),最终出具测评报告。第九条 会员单位提供测评服务不受地域、行业、领域的限制。会员单位应与被测评单位签署测评服务协议依据有关标准规范开展测评业务,防范测评风险,客观准确地反映被测评等级保护对象的安全保护状况。会员单位应按照统一模板出具网络安全等级测评报告,并针对不同的等级保护对象分别出具等级测评报告对第三级以上等级保护对象提供等级测评服务的,测评师人数不得少于4名,其中高级测评师、中级测评师应各不少于1名。其实,在一些以销售为主导的网络安全企业,技术人员的话语权非常轻。但是大多技术人员都是秉持安全合规的心态去开展工作,但实际执行过程中总会来自领导层以及销售人员的压力,做出一些违心的事情。一些成功学带歪的老板,口口声声说:“我只要结果,我不在乎过程”,但是这些过程合规是维系老板公司长治久安的基础,没有合规过程最终将给公司带来非常大的伤害,最终伤害的还是老板的利益。饮鸩止渴不可取,希望每一个老板能看到作为一个技术人员,为公司长远发展说的一点心里话。技术同仁,要是有同感一起分享起来,让更多的老板们看到! 
还没有评论,来说两句吧...