Categories
程式開發

“等保2.0”時代正式到來


“等保2.0”時代正式到來 1

12月1日,等級保護2.0(簡稱“等保2.0”)正式實施。

今年5月13日,國家市場監督管理總局召開新聞發布會,正式發布等保2.0相關的《信息安全技術網絡安全等級保護基本要求》、《信息安全技術網絡安全等級保護測評要求》、《信息安全技術網絡安全等級保護安全設計技術要求》等國家標準。

12月1日,等保2.0時代正式到來!

啟明星辰集團網禦星雲技術總監馬閩認為,等保2.0的發布充分貫徹《中華人民共和國網絡安全法》,實現我國網絡安全戰略目標,落實分等級保護、突出重點、積極防禦、綜合防護的總體要求,變被動防護為主動防護,變靜態防護為動態防護,變單點防護為整體防控,變粗放防護為精準防護,堅持同步規劃、同步建設、同步運行網絡安全保護措施的“三同步”要求,提升我國的網絡安全綜合防護能力。

一.什麼是等保?

網絡安全等級保護製度是我國網絡安全領域的基本國策、基本製度。 1994年,國務院發布《計算機信息系統安全保護條例》147號令

該條例首次提出“計算機信息系統實行安全等級保護”,安全等級保護理念由此誕生。

2007年和2008年,國家頒布《信息安全等級保護管理辦法》和《信息安全等級保護基本要求》。這被視為“等保1.0”。

不過,隨著國內互聯網的快速發展,新技術和新應用不斷湧現。原有的“等保1.0”既缺乏對一些新技術和新應用的等級保護規範,比如雲計算、大數據和物聯網等,風險評估、安全監測和通報預警等工作以及政策、標準、測評、技術和服務等體系又不完善。

為適應新技術的發展,解決雲計算、物聯網、移動互聯和工控領域信息系統的等級保護工作的需要,由公安部牽頭組織開展了信息技術新領域等級保護重點標準申報國家標準的工作,等級保護正式進入2.0時代。

二.等保2.0有哪些變化?

等保2.0在1.0時代標準的基礎上,注重主動防禦,從被動防禦到事前、事中、事後全流程的安全可信、動態感知和全面審計,實現了對傳統信息系統、基礎信息網絡、雲計算、大數據、物聯網、移動互聯網和工業控制信息系統等級保護對象的全覆蓋。

等保1.0主要強調物理主機、應用、數據、傳輸,等保2.0則在雲計算、大數據、物聯網、工業控制等新技術新應用方面有涉及。

1.標準依據的變化

等保1.0的最高國家政策是國務院147號令,而等保2.0標準的最高國家政策是網絡安全法。

從條例法規提升到法律層面,級別更高,效力更大。

《網絡安全法》第二十一條規定,國家實行網絡安全等級保護製度。網絡運營者應當按照網絡安全等級保護製度的要求,履行下列全保護義務:保障網絡免受干擾、破壞或者未經授權的訪問,防止網絡數據洩露或者被竊取、篡改。

第二十五條要求,網絡運營者應當制定網絡安全事件應急預案;

第三十一條則要求,關鍵基礎設施,在網絡安全等級保護製度的基礎上,實行重點保護;

第五十九條規定的網絡安全保護義務的,由有關主管部門給予處罰。

因此,不開展等級保護等於違法!

2.標準要求變化

等級2.0在1.0基本上進行了優化,同時對雲計算、物聯網、移動互聯網、工業控制、大數據新技術提出了新的安全擴展要求。在使用新技術的信息系統需要同時滿足“通用要求+擴展要求”。

3.等級規定動作

(1)定級對象的變化

等保1.0定級的對像是信息系統,等保2.0的定級對象擴展至基礎信息網絡、工業控制系統、雲計算平台、物聯網、使用移動互聯技術的網絡、其他網絡以及大數據等多個系統平台,覆蓋面更廣。

(2)定級級別的變化

公民、法人和其他組織的合法權益產生特別嚴重損害時,相應系統的等級保護級別從1.0的第二級調整到了第三級(根據GA/T1389)。

(3)定級流程的變化

等保2.0標準不再自主定級,二級及以上系統定級必須經過專家評審和主管部門審核,才能到公安機關備案,整體定級更加嚴格。

(4)測評合格要求提高

相較於等保1.0,等保2.0測評的標準發生了變化,2.0中測評結論分為:優(90分及以上)、良(80分及以上)、中(70分及以上)、差(低於70分),70分以上才算基本符合要求,基本分調高了,測評要求更加嚴格。

對企業而言,一方面需要建立等保2.0為核心的網絡安全管理體系,另一方面將等級保護合規融入日常安全運營流程中。並且,定期開展等保2.0合規自查和專項檢查。