2019年12月1日等保2.0正式到來
網路安全等級保護2.0時代,於2019年12月1日正式開始。
網路安全等級保護制度是我國網路安全領域的基本國策、基本制度,等級保護標準在1.0時代標準的基礎上,注重主動防禦,從被動防禦到事前、事中、事後全流程的安全可信、動態感知和全面審計,實現了對傳統信息系統、基礎信息網路、雲計算、大數據、物聯網、移動互聯網和工業控制信息系統等級保護對象的全覆蓋。
等保1.0和2.0標準的共同點
等級保護的概念自1994年提出後,經過20多年的發展和演進,已取得較大成功,網路安全法未發布之前可稱為等保1.0,網路安全法發布之後成為等保2.0,在2.0時代發生了較大變化。但萬變不離其宗,等保五個等級不變、五項工作不變、主體責任不變。
等級保護「五個級別」不變;
等級保護「規定動作」不變,定級、備案、建設整改、等級測評、監督檢查;
等級保護「主體職責」不變。
等保1.0和2.0標準之間的變化
近年來,隨著信息技術的發展和網路安全形勢的變化,等保1.0要求已無法有效應對新的安全風險和新技術應用所帶來的新威脅,等保1.0被動防禦為主的防禦無法滿足當前發展要求,因此急需建立一套主動防禦體系。等保2.0適時而出,從法律法規、標準要求、安全體系、實施環節等方面都有了變化。
1、標準依據的變化
從條例法規提升到法律層面。等保1.0的最高國家政策是國務院147號令,而等保2.0標準的最高國家政策是網路安全法,其中《中華人民共和國網路安全法》第二十一條要求,國家實施網路安全等級保護制度;第二十五條要求,網路運營者應當制定網路安全事件應急預案;第三十一條則要求,關鍵基礎設施,在網路安全等級保護制度的基礎上,實行重點保護;第五十九條規定的網路安全保護義務的,由有關主管部門給予處罰。因此不開展等級保護等於違法。
2、標準要求變化
等級2.0在1.0基本上進行了優化,同時對雲計算、物聯網、移動互聯網、工業控制、大數據新技術提出了新的安全擴展要求。在使用新技術的信息系統需要同時滿足「通用要求 擴展要求」。且針對新的安全形勢提出了新的安全要求,標準覆蓋度更加全面,安全防護能力有很大提升。
通用要求方面,等保2.0標準的核心是優化。刪除了過時的測評項,對測評項進行合理改寫,新增對新型網路攻擊行為防護和個人信息保護等新要求,調整了標準結構、將安全管理中心從管理層面提升至技術層面。
擴展要求擴展了雲計算、物聯網、移動互聯網、工業控制、大數據。
3、安全體系變化
等保2.0相關標準依然採用「一個中心、三重防護」的理念,從等保1.0被動防禦的安全體系向事前防禦、事中相應、事後審計的動態保障體系轉變。建立安全技術體系和安全管理體系,構建具備相應等級安全保護能力的網路安全綜合防禦體系,開展組織管理、機制建設、安全規劃、通報預警、應急處置、態勢感知、能力建設、監督檢查、技術檢測、隊伍建設、教育培訓和經費保障等工作。
4、等級規定動作
保護定級、備案、建設整改、等級測評、監督檢查的實施過程中,等保2.0進行了優化和調整。
(1)定級對象的變化。
等保1.0定級的對象是信息系統,等保2.0的定級對象擴展至基礎信息網路、工業控制系統、雲計算平台、物聯網、使用移動互聯技術的網路、其他網路以及大數據等多個系統平台,覆蓋面更廣。
(2)定級級別的變化。
公民、法人和其他組織的合法權益產生特別嚴重損害時,相應系統的等級保護級別從1.0的第二級調整到了第三級(根據GA/T1389)。
(3)定級流程的變化。
等保2.0標準不再自主定級,二級及以上系統定級必須經過專家評審和主管部門審核,才能到公安機關備案,整體定級更加嚴格。
(4)測評合格要求提高
相較於等保1.0,等保2.0測評達的標準發生了變化,2.0中測評結論分為:優(90分及以上)、良(80分及以上)、中(70分及以上)、差(低於70分),70分以上才算基本符合要求,基本分調高了,測評要求更加嚴格。
等保2.0隻是開始
根據網路安全法及等級保護相關要求,企業或單位應該按照網路安全法要求嚴格落實等級保護制度、履行網路安全責任、加強網路安全防護、不斷提高網路抗攻擊能力,因此還應定期開展網路的等級測評、風險評估、滲透測試、安全培訓、安全運維、重要時期的安全保障、日常的應急響應和安全通報等工作。通過這些工作夯實網路安全工作的各個層面,提高安全水平和防禦能力,保障企業或單位的網路系統穩定運行。
