本文来源安全导航官网
最近发现有人在网上乱造词,提什么等保3.0概念,这不严谨!至少在目前,等保3.0是一个不存在的概念,也无任何官方的资料里提及。
目前等级保护体系里,只有等保1.0和等保2.0的说法,等保2.0自2019年12月1日起正式施行,因此一般默认等保即等保2.0。
等保1.0,2.0概念怎么得来?
是根据相应的标准文件进行的体系划分。随着网安工作的推进,相应标准文件不断更新及补充,于是有了等保1.0,2.0标准体系。
等级保护1.0标准体系
2007年,《信息安全等级保护管理办法》(公通字[2007]43号)文件的正式发布,标志着等级保护1.0的正式启动。等级保护1.0规定了等级保护需要完成的“规定动作”,即定级备案、建设整改、等级测评和监督检查,为了指导用户完成等级保护的“规定动作”,在2008年至2012年期间陆续发布了等级保护的一些主要标准,构成等级保护1.0的标准体系。
等级保护1.0时期的主要标准如下:
- 信息安全等级保护管理办法(43号文件)(上位文件)
- 计算机信息系统安全保护等级划分准则 GB17859-1999(上位标准)
- 信息系统安全等级保护实施指南 GB/T25058-2008
- 信息系统安全保护等级定级指南 GB/T22240-2008
- 信息系统安全等级保护基本要求 GB/T22239-2008
- 信息系统等级保护安全设计要求 GB/T25070-2010
- 信息系统安全等级保护测评要求 GB/T28448-2012
- 信息系统安全等级保护测评过程指南 GB/T28449-2012
等级保护2.0标准体系
2017年,《中华人民共和国网络安全法》的正式实施,标志着等级保护2.0的正式启动。网络安全法明确“国家实行网络安全等级保护制度。”(第21条)、“国家对一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。”(第31条)。上述要求为网络安全等级保护赋予了新的含义,重新调整和修订等级保护1.0标准体系,配合网络安全法的实施和落地,指导用户按照网络安全等级保护制度的新要求,履行网络安全保护义务的意义重大。
随着信息技术的发展,等级保护对象已经从狭义的信息系统,扩展到网络基础设施、云计算平台/系统、大数据平台/系统、物联网、工业控制系统、采用移动互联技术的系统等,基于新技术和新手段提出新的分等级的技术防护机制和完善的管理手段是等级保护2.0标准必须考虑的内容。关键信息基础设施在网络安全等级保护制度的基础上,实行重点保护,基于等级保护提出的分等级的防护机制和管理手段提出关键信息基础设施的加强保护措施,确保等级保护标准和关键信息基础设施保护标准的顺利衔接也是等级保护2.0标准体系需要考虑的内容。
2007年到2017年,这期间使用等保1.0。为什么从2017年后叫做等保2.0了呢?原因是2017年6月1号,《中华人民共和国网络安全法》出台,它提到,国家实行等级安全保护制度,注意,这时候等级保护已经成为法律制度,不做等保就是违法。同时,第31条说,如果单位系统非常非常重要,称之为“关键信息基础设施”,那么这个系统做等保还不够,还要在等保的基础上做重点保护。
>>>等级保护2.0标准体系主要标准如下:
- 网络安全等级保护条例(总要求/上位文件)
- 计算机信息系统安全保护等级划分准则(GB 17859-1999)(上位标准)
- 网络安全等级保护实施指南(GB/T25058-2020)
- 网络安全等级保护定级指南(GB/T22240-2020)
- 网络安全等级保护基本要求(GB/T22239-2019)
- 网络安全等级保护设计技术要求(GB/T25070-2019)
- 网络安全等级保护测评要求(GB/T28448-2019)
- 网络安全等级保护测评过程指南(GB/T28449-2018)
>>>关键信息基础设施标准体系框架如下:
- 关键信息基础设施保护条例(征求意见稿)(总要求/上位文件)
- 关键信息基础设施安全保护要求(征求意见稿)
- 关键信息基础设施安全控制要求(征求意见稿)
- 关键信息基础设施安全控制评估方法(征求意见稿)
等级保护3.0
等保3.0是一个不存在的概念,目前等级保护只有等保1.0和等保2.0的说法,等保2.0自2019年12月1日起正式施行,因此一般默认等保即等保2.0。等保2.0与等保1.0的五大区别变化包括名称变化、定级对象变化、安全要求变化、控制措施分类结构变化等。其中,等保2.0的定级对象更为广泛,包含信息系统、基础信息网络、云计算平台、大数据平台、物联网系统、工业控制系统、采用移动互联技术的网络等。
等级保护2.0
2019年5月13日,网络安全等级保护制度2.0标准(以下简称“等保2.0标准”)正式发布,2019年12月1日开始实施。
等保2.0标准在1.0标准的基础上,注重全方位主动防御、安全可信、动态感知和全面审计,实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联和工业控制信息系统等保护对象的全覆盖。
二、等保2.0和等保3.0区别
现阶段等级保护仅有等保1.0和等保2.0的观点,都还没等保3.0的观点。自2019年12月1日起宣布实施等保2.0,因此一般默认设置等保即等保2.0。
但这儿必须留意的一点是,等保2.0中信息系统标准分5个等级,第一级、第二级、第三级、第四级、第五级。因此很多人会把等保三级评测当做了等保3.0。因此一定要搞清楚三级等保评测不等于等保3.0。
三、等保级别
等保级别是指根据《信息安全技术网络安全等级保护定级指南》的要求,将等级保护对象的安全保护分为五级。等保级别的定义和等级保护的意义是为了加强国家信息安全保障工作的重要内容,也是一项事关国家安全、社会稳定的政治任务。
下面针对等保级别和等级保护的问题,提供一些解释和回答:
等保级别一共有几级?每个级别适用于什么场景?
根据《信息安全技术网络安全等级保护定级指南》的要求,等级保护对象的安全保护分为5级。具体每个级别适用的场景可以在该指南中找到对应的规定。
参考资料: