重磅,等保2.0时代来了!你需要了解的都在这里

重磅,等保2.0时代来了!你需要了解的都在这里

2019年5月13日,国家市场监督管理总局、国家标准化管理委员会召开新闻发布会,网络安全等级保护技术2.0版本(等保2.0)相关的《信息安全技术网络安全等级保护基本要求》、《信息安全技术网络安全等级保护测评要求》、《信息安全技术网络安全等级保护安全设计技术要求》等国家标准正式发布,将于2019年12月1日开始实施。

小贴士

网络安全等级保护——我国信息安全保障的基本制度,是网络空间安全保障体系的重要支撑。等保2.0在技术上除了继续关注传统网络系统,重点对云计算、移动互联、物联网、工业控制以及大数据安全等进行全面安全防护,确保关键信息基础设施安全。

为什么要做等级保护?

等保2.0标准的最高国家政策是网络安全法。

《网络安全法》第二十一条要求,国家实施网络安全等级保护制度;第二十五条要求,网络运营者应当制定网络安全事件应急预案;第三十一条则要求,关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护;第五十九条明确了,网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门给予处罚。

也就是说,不开展等级保护等于违法!等保1.0到2.0不仅仅是制度修订,技术的升级,更是法律效力的提升。

行业要求与企业系统安全的需求

在金融、电力、广电、医疗、教育等行业,主管单位明确要求从业机构的信息系统要开展等级保护工作;信息系统运营、使用单位通过开展等级保护工作可以发现系统内部的安全隐患与不足之处,可通过安全整改提升系统的安全防护能力,降低被攻击的风险。

解读等保新标准

等保2.0时代的“不变”

经过20多年的发展和演进,等保制度在2.0时代已经有了不小的变化。但万变不离其宗,等级保护的五个等级不变、五项工作不变、主体职责不变。

等保2.0时代的“变”

“新”的等保2.0标准,从法律法规、标准要求、安全体系、实施环节等方面都有了“变化”。

法律法规变化

从条例法规提升到法律层面。

标准要求变化

调整后每一级的安全要求均包括安全通用要求,安全扩展要求(包括云计算安全、移动互联安全、物联网安全、工业控制系统)。针对共性化保护需求,安全通用要求提出,等级保护对象无论以何种形式出现,必须根据安全保护等级实现相应级别的安全通用要求;针对个性化保护需求,安全扩展要求提出,需要根据安全保护等级和使用的特定技术或特定的应用场景选择安全扩展要求。

安全体系变化

等保2.0标准依然采用“一个中心、三重防护” 的理念,从等保1.0标准被动防御的安全体系向事前预防、事中响应、事后审计的动态保障体系转变。

其中,体系中的结构变化如下图所示:

实施环节变化

在等级保护定级、备案、建设整改、等级测评、监督检查的实施过程中,等保2.0标准也进行了优化和调整。

且值得注意的是,相较于等保1.0,等保2.0标准测评周期、测评结果评定有所调整。等保2.0标准要求,第三级以上的系统每年开展一次测评,测评达到75分以上才算基本符合要求。可见,相比之下等保2.0时代基本分高了,要求更严苛了。