12 月 1 日,等级保护 2.0(简称“等保 2.0”)正式实施。
今年 5 月 13 日,国家市场监督管理总局召开新闻发布会,正式发布等保 2.0 相关的《信息安全技术网络安全等级保护基本要求》、《信息安全技术网络安全等级保护测评要求》、《信息安全技术网络安全等级保护安全设计技术要求》等国家标准。
12 月 1 日,等保2.0时代正式到来!
启明星辰集团网御星云技术总监马闽认为,等保 2.0 的发布充分贯彻《中华人民共和国网络安全法》,实现我国网络安全战略目标,落实分等级保护、突出重点、积极防御、综合防护的总体要求,变被动防护为主动防护,变静态防护为动态防护,变单点防护为整体防控,变粗放防护为精准防护,坚持同步规划、同步建设、同步运行网络安全保护措施的“三同步”要求,提升我国的网络安全综合防护能力。
一.什么是等保?
网络安全等级保护制度是我国网络安全领域的基本国策、基本制度。1994 年,国务院发布《计算机信息系统安全保护条例》147号令。
该条例首次提出“计算机信息系统实行安全等级保护”,安全等级保护理念由此诞生。
2007 年和 2008 年,国家颁布《信息安全等级保护管理办法》和《信息安全等级保护基本要求》。这被视为“等保 1.0”。
不过,随着国内互联网的快速发展,新技术和新应用不断涌现。原有的“等保 1.0”既缺乏对一些新技术和新应用的等级保护规范,比如云计算、大数据和物联网等,风险评估、安全监测和通报预警等工作以及政策、标准、测评、技术和服务等体系又不完善。
为适应新技术的发展,解决云计算、物联网、移动互联和工控领域信息系统的等级保护工作的需要,由公安部牵头组织开展了信息技术新领域等级保护重点标准申报国家标准的工作,等级保护正式进入 2.0 时代。
二.等保 2.0 有哪些变化?
等保 2.0 在 1.0 时代标准的基础上,注重主动防御,从被动防御到事前、事中、事后全流程的安全可信、动态感知和全面审计,实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联网和工业控制信息系统等级保护对象的全覆盖。
等保 1.0 主要强调物理主机、应用、数据、传输,等保 2.0 则在云计算、大数据、物联网、工业控制等新技术新应用方面有涉及。
1.标准依据的变化
等保 1.0 的最高国家政策是国务院 147 号令,而等保 2.0 标准的最高国家政策是网络安全法。
从条例法规提升到法律层面,级别更高,效力更大。
《网络安全法》第二十一条规定,国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列全保护义务:保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
第二十五条要求,网络运营者应当制定网络安全事件应急预案;
第三十一条则要求,关键基础设施,在网络安全等级保护制度的基础上,实行重点保护;
第五十九条规定的网络安全保护义务的,由有关主管部门给予处罚。
因此,不开展等级保护等于违法!
2.标准要求变化
等级 2.0 在 1.0 基本上进行了优化,同时对云计算、物联网、移动互联网、工业控制、大数据新技术提出了新的安全扩展要求。在使用新技术的信息系统需要同时满足“通用要求+扩展要求”。
3.等级规定动作
(1)定级对象的变化
等保 1.0 定级的对象是信息系统,等保 2.0 的定级对象扩展至基础信息网络、工业控制系统、云计算平台、物联网、使用移动互联技术的网络、其他网络以及大数据等多个系统平台,覆盖面更广。
(2)定级级别的变化
公民、法人和其他组织的合法权益产生特别严重损害时,相应系统的等级保护级别从 1.0 的第二级调整到了第三级(根据 GA/T1389)。
(3)定级流程的变化
等保 2.0 标准不再自主定级,二级及以上系统定级必须经过专家评审和主管部门审核,才能到公安机关备案,整体定级更加严格。
(4)测评合格要求提高
相较于等保 1.0,等保 2.0 测评的标准发生了变化,2.0 中测评结论分为:优(90 分及以上)、良(80 分及以上)、中(70 分及以上)、差(低于 70 分),70 分以上才算基本符合要求,基本分调高了,测评要求更加严格。
对企业而言,一方面需要建立等保 2.0 为核心的网络安全管理体系,另一方面将等级保护合规融入日常安全运营流程中。并且,定期开展等保 2.0 合规自查和专项检查。
评论