2019年12月1日,网络安全等级保护标准2.0正式开始实施,网络等保建设从被动防御进入主动防御新时代。
2019年5月13日,国家市场监督管理总局、国家标准化管理委员会召开新闻发布会,正式发布了等保2.0相关的《信息安全技术网络安全等级保护基本要求》、《信息安全技术网络安全等级保护测评要求》、《信息安全技术网络安全等级保护安全设计技术要求》等国家标准。
等级保护制度2.0国家标准的实施具有里程碑的意义,从1.0到2.0,定级流程更加严格,项目要求更加细化,通过难度更高,对保障和促进国家信息化发展,提升国家关键信息基础设施安全保护能力,维护国家网络空间安全有着不可估量的价值。
什么是等级保护?
网络安全等级保护制度是我国网络安全领域的基本国策、基本制度。1994年,国务院发布“147号令”,即《中华人民共和国计算机信息系统安全保护条例》,提出“等级保护”的概念,即对信息和信息载体按照重要性等级分集进行保护。2016年,《网络安全法》发布,将等级保护制度提升到了法律层面,“等级保护2.0”的概念出现。
等级保护2.0有什么变化?
相比等保1.0只针对网络和信息系统,等保2.0把云计算、大数据、物联网等新业态也纳入了监管,并把监管对象从体制内拓展到了全社会,覆盖技术更全面,监管范围更广,更有法(《中华人民共和国网络安全法》)可依。等保2.0标准的正式实施,对加强中国网络安全保障工作,提升网络安全保护能力具有重要意义!催生巨大新需求!
1.标准依据的变化
从条例法规提升到法律层面。等保1.0的最高国家政策是中华人民共和国计算机信息系统安全保护条例(国务院令147号),而等保2.0标准的最高国家政策是网络安全法.
《中华人民共和国网络安全法》第二十一条要求,国家实施网络安全等级保护制度;第二十五条要求,网络运营者应当制定网络安全事件应急预案;第三十一条则要求,关键基础设施,在网络安全等级保护制度的基础上,实行重点保护;第五十九条规定的网络安全保护义务的,由有关主管部门给予处罚。
因此,不开展等级保护等于违法。
2.标准要求变化
等级2.0在1.0基本上进行了优化,同时对云计算、物联网、移动互联网、工业控制、大数据新技术提出了新的安全扩展要求,在使用新技术的信息系统需要同时满足“通用要求+扩展要求”。此外,针对新的安全形势提出了新的安全要求,标准覆盖度更加全面,安全防护能力有很大提升。
通用要求方面,等保2.0标准的核心是优化。删除了过时的测评项,对测评项进行合理改写,新增对新型网络攻击行为防护和个人信息保护等新要求,调整了标准结构、将安全管理中心从管理层面提升至技术层面。
扩展要求扩展了云计算、物联网、移动互联网、工业控制、大数据。
3.安全体系变化
等保2.0相关标准依然采用“一个中心、三重防护”的理念,从等保1.0被动防御的安全体系向事前防御、事中相应、事后审计的动态保障体系转变。建立安全技术体系和安全管理体系,构建具备相应等级安全保护能力的网络安全综合防御体系,开展组织管理、机制建设、安全规划、通报预警、应急处置、态势感知、能力建设、监督检查、技术检测、队伍建设、教育培训和经费保障等工作。
4.等级规定动作
保护定级、备案、建设整改、等级测评、监督检查的实施过程中,等保2.0进行了优化和调整。
(1)定级对象的变化。
等保1.0定级的对象是信息系统,等保2.0的定级对象扩展至基础信息网络、工业控制系统、云计算平台、物联网、使用移动互联技术的网络、其他网络以及大数据等多个系统平台,覆盖面更广。
(2)定级级别的变化
公民、法人和其他组织的合法权益产生特别严重损害时,相应系统的等级保护级别从1.0的第二级调整到了第三级(根据GA/T1389)。
(3)定级流程的变化。
等保2.0标准不再自主定级,二级及以上系统定级必须经过专家评审和主管部门审核,才能到公安机关备案,整体定级更加严格。
(4)测评合格要求提高
相较于等保1.0,等保2.0测评达的标准发生了变化,2.0中测评结论分为:优(90分及以上)、良(80分及以上)、中(70分及以上)、差(低于70分),70分以上才算基本符合要求,基本分调高了,测评要求更加严格。
等保2.0的实施对企业有什么影响?
根据谁主管谁负责、谁运营谁负责、谁使用谁负责的原则,网络运营者成为等级保护的责任主体,如何快速高效地通过等级保护测评成为企业开展业务前必须思考的问题。
等保2.0有5个运行步骤:定级、备案、建设和整改、等级测评、检查。同时,也分5个等级,即信息系统按重要程度由低到高分为5个等级,并分别实施不同的保护策略。
随着信息技术的快速发展和网络安全形势的不断变化,我国的信息和网络安全建设一定会越来越完善,对于企业而言,做好网络安全等级保护工作,增强网络安全防护能力,不仅是遵守法律法规的要求,更是自身业务运营的必要需求。