一、哪些是专家?谁来认定这些专家?
这个在定级指南里并没有直接说明在实际开展工作中也是各不相同。比如北京要求有测评师参与评审,有些地方自己组织认定了一批评审专家,有些地方套用政府采购评审专家,有些地方也没有明确专家大家自由选择。
那么按一般情况下对“专家”的定义,认定是一些对等保熟悉的人,哪些人对等保定级工作了解呢?
第一、公安网安主管部门工作人员,他们从事这项工作,每年对大量新系统进行了定级审核,他们自然对等保定级工作了解,他们可以当专家,有些人会认为不能自己既当专家又进行最终审核,一般情况下为了避嫌,是异地网安人员参与评审;
第二、测评机构持证工作人员,他们长年在一线进行等保工作,他们接触了很多系统,对标准对系统情况比较熟悉,他们适合当等保定级专家,这里建议测评机构的评审专家资质应为:中、高级测评师,他们的工作经验相对初级测评师来说较为丰富;
第三、相关网络安全专家,这里就比较广泛,比如各个单位信息中心或者网络安全的负责人,行业主管部门负责网络安全的人员,高校负责网络安全、计算机等教学人员,这些专家也都行,他们长年从事信息化特别是网络安全工作,经验也较为丰富,如果自身负责过或指导过本单位等保工作开展的那就更好。
如果每次专家评审至少有这三类人参与的话,这个定级一定相对更加规范合理,也建议各地还没有对专家范围进行认定的可以让各家单位按照这个要求来找专家,总结下就是:定级评审专家至少3人,人员中包括:异地网安人员、测评机构中高级测评师及其他网络安专家。专家找好了,评审就顺其自然的开展下去了,网络运营者肯定要对自己的信息系统进行介绍,各位专家对定级资料进行评审,提出相关疑问,网络运营者解答,最终专家对该系统的定级情况做一个认定,出具专家评审意见并进行签字,这样专家评审环节就完成了。
二、明确哪些级别需要召开专家评审会?
按照等保2.0之后的《定级指南》的要求,各单位自己确定定级对象之后,对每一个系统进行一个初步预定级,如果认为该系统应该为二级以上,应该进行专家评审,但是很多单位对于自己单位的系统的重要程度,被破坏后的危害认识存在很多主观因素,或者认识不够,因此建议所有的系统都应该做专家评审,否则某个单位 系统假如说有几十个,主观认为都是一级,那就进行不到专家评审这一环节了,违背了定级的思想了,所以,个人觉得在专家评审时,应该对所有系统进行定级评审。避免出现二级(含二级)以上系统没有定 级备案的情况,避免因为信息系统没有定级备案而被违法处罚。专家评审后有主管部门的报主管部门审核,审核后出具定级审批意见后,报给公安机关备案审查,公安机关属于终审,如果公安机关认为仍然定级不准备,则重新调整回到第一步。公安机关审核通过后,最终确定等级,出具备案证明。
三、专家评审注意问题: 1.专家评审的时候,不是审查备案表和定级报告毛病,不是看系统的安全性,看系统是否缺少了什么安全防护设备。2.专家的主要职责是根据系统的重要程度,根据系统被破坏后产生的影响后果去确定系统的级别,这才是专家评审的意义。其实系统定级是一件比较难,也非常重要的工作。系统级别确定后,系统就要按照这个标准去建设,去防护。 3.专家评审时,应该对系统的边界划分清楚。有些单位习惯把一 些系统合并成为一个系统,专家应该审核这种合并的合理性。 4.在评审表中应该考虑系统服务安全和系统业务安全,并认清对应的级别。 5.在评审时,很多单位会把所有的系统都拿出来评审,对于认定为一级的系统也应该在专家评审意见中写明原因。不能只写二级以上的评审意见。