亚洲第一色欲AV|丰满无码人妻热妇无码喷水区|日韩成人一区二区|情五月亚洲天堂网

安全資訊

解讀等保2.0:核心內涵

網(wǎng)絡安全等級保護制度2.0標準今天正式發(fā)布,靈狐科技從今天起將推出“解讀等保2.0”系列專題,通過發(fā)布相關文章來系統(tǒng)分析解讀正式發(fā)布的等保2.0的方方面面,邀您共同探討,歡迎留言。

摘要

我國的等級保護制度從首次被提出至今,其在各行各業(yè)的落地實施,逐步筑起了國家網(wǎng)絡和信息安全的重要防線,同時等級保護也是迎接新時期網(wǎng)絡安全建設的基礎。


然而“等級保護”制度從何而來?在我國又經(jīng)歷了哪些演進發(fā)展過程?當前我國網(wǎng)絡與信息安全發(fā)展正從“等保1.0”逐步過渡到“等保2.0”,為何整個制度要進行調整?這其中的核心內涵又是什么?


本篇“等保2.0核心內涵”將重點介紹等級保護制度在我國發(fā)展的過程,以及等保2.0的形成過程、在定級備案中的重大變化。


一、何為等級保護

等級保護是我國信息安全保障的基本制度,其全稱為“信息系統(tǒng)安全等級保護”,現(xiàn)改為“網(wǎng)絡安全等級保護”,是指對網(wǎng)絡和信息系統(tǒng)按照重要性等級分級別保護的一種制度。安全保護等級越高,要求安全保護能力就越強,既不能保護不足,也不能過度保護。


通過合理的等級保護,能夠遵循客觀規(guī)律,信息安全的等級是客觀存在的;有利于突出重點,加強安全建設和管理;有利于控制信息安全建設的成本,平衡投入產(chǎn)出比例。




二、等級保護在我國的發(fā)展歷程


從1994年國務院在《中華人民共和國計算機信息系統(tǒng)安全保護條例》(以下簡稱《計算機信息系統(tǒng)安全保護條例》)首次提出計算機信息系統(tǒng)實行安全等級保護,到2007年實施《信息安全等級保護管理辦法》(以下簡稱《管理辦法》),我國信息安全等級保護制度正式走上正軌。


《GB/T 22239-2008 信息系統(tǒng)安全等級保護基本要求》(以下簡稱“基本要求”或“基本要求(GB/T 22239)”)、《GB/T 22240-2008 信息系統(tǒng)安全等級保護定級指南》(以下簡稱“定級指南”或“定級指南(GB/T 22240)”)等標準的陸續(xù)頒布,標志著信息安全等級保護作為國家信息系統(tǒng)安全保障基本制度、基本策略、基本方法,有了落地的技術標準,在技術層面詮釋了開展網(wǎng)絡安全等級保護工作是保護信息化發(fā)展、維護國家網(wǎng)絡安全的根本保障,是網(wǎng)絡安全保障工作中國家意志的體現(xiàn)。


在接下來的5年,我國信息系統(tǒng)安全等級保護以《管理辦法》為核心,在邊實踐邊建設中得到快速發(fā)展,特別是《GB/T 28448-2012 信息系統(tǒng)安全等級保護測評要求》、《GB/T 28449-2012信息系統(tǒng)安全等級保護測評過程指南》等標準辦法的實施,標志著我國信息系統(tǒng)安全等級保護的定級、備案、建設、測評等流程在標準體系上逐步趨于完善。


三、等級保護2.0的真面目

為適應新技術發(fā)展,解決云計算、物聯(lián)網(wǎng)、移動互聯(lián)、工業(yè)控制、大數(shù)據(jù)等領域的信息系統(tǒng)等級保護工作需要,從2014年3月開始,由公安部牽頭組織開展了等級保護重點標準申報國家標準的工作,并從2015年開始陸續(xù)對外發(fā)布草稿、征集意見稿,網(wǎng)絡上開始有了等保2.0的叫法。


網(wǎng)絡上很多對“等保2.0標準”的解讀,往往把關注點集中在基本要求的技術變化上,而容易忽略等保2.0的本質和結構性變化。實際上,透過新舊兩版制度的引言部分,不難發(fā)現(xiàn)如下變化:


GB/T 22239-2008

新GB/T 22239

引言原文

依據(jù)國家信息安全等級保護管理規(guī)定制定本標準

為了配合《中華人民共和國網(wǎng)絡安全法》的實施,適應云計算、 移動互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制和大數(shù)據(jù)等新技術、新應用情況下網(wǎng)絡安全等級保護工作的開展,需對GB/T 22239—2008進行修訂

制定/修改依據(jù)

《中華人民共和國計算機信息系統(tǒng)安全保護條例》

《國家信息化領導小組關于加強信息安全保障工作的意見》

《信息安全等級保護管理辦法》

《中華人民共和國網(wǎng)絡安全法》

備注

標準原文并未說明按照以上三個規(guī)范性文件制定,但在后制定的GB/T28448、GB/T 25058等標準中說了與22239的關系,并明確指出按照以上規(guī)范性文件制定標準

這就意味著,前后的兩版制度所參照的規(guī)范性文件完全不同,這才應該是等保2.0的核心內涵,即:


1.  以國務院行政法規(guī)(《計算機信息系統(tǒng)安全保護條例》)為頂層設計,公安部、國家保密局、國家密碼管理局、國務院信息工作辦公室共同發(fā)布的部門規(guī)范性文件(《管理辦法》)確立核心體系的“信息安全等級保護”為等保1.0時代;

2.  以《網(wǎng)絡安全法》、《保守國家秘密法》等法律為頂層設計的等保2.0,其核心體系將是《網(wǎng)絡安全等級保護條例》。(已于2018年6月發(fā)布征求意見稿) 


所以,無論是自身法律效力亦或法律依據(jù)的效力位階,等保2.0均高于等保1.0,等保1.0到2.0不僅僅是制度修訂,技術的升級,更是法律效力的提升。


總結對比如下:


等保1.0

等保2.0

名稱

信息(系統(tǒng))安全等級保護

網(wǎng)絡安全等級保護

頂層規(guī)范性文件

計算機信息系統(tǒng)安全保護條例

(行政法規(guī))

網(wǎng)絡安全法

(法律)

核心體系

文件

信息安全等級保護管理辦法

(部門規(guī)范性文件)

網(wǎng)絡安全等級保護條例

(行政法規(guī))

配套標準

以GB/T 22239、28448等為核心的信息系統(tǒng)安全等級保護標準及其他配套標準

以修訂GB/T 22239、28448等為核心的網(wǎng)絡安全等級保護標準及其他配套標準

流程

定級、備案、建設整改、等級測評和監(jiān)督檢查五個規(guī)定動作

等保1.0中五個規(guī)定動作外,風險評估、安全監(jiān)測、通報預警、事件調查、應急演練、災難備份、自主可控、供應鏈安全、效果評價、綜治考核等重點措施納入


四、等保2.0定級備案流程:容易忽略的重大變化

由于等級保護的2.0時代,法律效力得到極大提高,國家監(jiān)管力度將會更強,監(jiān)管范圍也會變寬。因此,等級保護在流程上必然會帶來一系列的變化。定級備案流程往往是容易被忽略的重大變化。


等級保護定級指南2.0標準(GB/T22240)細化了網(wǎng)絡安全等級保護制度定級對象的具體范圍,主要包括基礎信息網(wǎng)絡、工業(yè)控制系統(tǒng)、云計算平臺、物聯(lián)網(wǎng)、使用移動互聯(lián)技術的網(wǎng)絡、其他網(wǎng)絡以及大數(shù)據(jù)等多個系統(tǒng)平臺。


新制度中修改定級對象三大基本特征為:a)具有確定的主要安全責任主體;b)承載相對獨立的業(yè)務應用;c)包含相互關聯(lián)的多個資源?;A信息網(wǎng)絡、工業(yè)控制系統(tǒng)、云計算平臺、物聯(lián)網(wǎng)、采用移動互聯(lián)技術的網(wǎng)絡和大數(shù)據(jù)在滿足以上三個基本特征的基礎上,還遵循如下要求:


基礎信息網(wǎng)絡:對于電信網(wǎng)、廣播電視傳輸網(wǎng)、互聯(lián)網(wǎng)等基礎信息網(wǎng)絡,應分別依據(jù)服務類型、服務地域和安全責任主體等因素將其劃分為不同的定級對象,而跨省業(yè)務專網(wǎng)既可以作為一個整體定級,也可根據(jù)區(qū)域劃分為若干對象定級。


工業(yè)控制系統(tǒng):應將現(xiàn)場采集/執(zhí)行、現(xiàn)場控制和過程控制等要素應作為一個整體對象定級,而生產(chǎn)管理要素可以單獨定級;對于大型工業(yè)控制系統(tǒng),可以根據(jù)系統(tǒng)功能、責任主體、控制對象和生產(chǎn)廠商等因素劃分為多個定級對象。


云計算平臺:應區(qū)分為服務提供方與租戶方,各自分別作為定級對象;對于大型云計算平臺,應將云計算基礎設施和有關輔助服務系統(tǒng)劃分為不同的定級對象。


物聯(lián)網(wǎng):雖然包括感知、網(wǎng)絡傳輸和處理應用等多種特征因素,但仍應將以上要素作為一個整體的定級對象,各要素并不單獨定級。


采用移動互聯(lián)技術的網(wǎng)絡:應將移動終端、移動應用、無線網(wǎng)絡等要素與相關有線網(wǎng)絡業(yè)務系統(tǒng)作為整體對象定級。


大數(shù)據(jù):除安全責任主體相同的平臺和應用可以整體定級外,應單獨定級。


在定級原則上,《等保條例》放棄了《管理辦法》中的“自主定級、自主保護”原則,采取了以國家行政機關持續(xù)監(jiān)督的“明確等級、增強保護、常態(tài)監(jiān)督”方式。更重要是,除上述系統(tǒng),還做了對關鍵信息基礎設施,定級原則上不低于三級的規(guī)定。


在備案環(huán)節(jié)中,將原有的30天內備案,縮短為10個工作日,并明確了定級流程分為:確定定級對象、初步確定等級、專家評審、主管部門審核、公安機關備案審查,填補了1.0時代只有按照定級要素進行過程,沒有嚴格流程的不足。


整理對比如下:


等保1.0

等保2.0

定級依據(jù)

信息安全等級保護管理辦法 第十條規(guī)定,《信息系統(tǒng)安全等級保護定級指南》配套使用。

網(wǎng)絡安全等級保護條例(征求意見稿)第二條中定義,修訂GB/T 22240作為進一步細化。

定級對象

信息安全等級保護工作直接作用的具體的信息和信息系統(tǒng)。

網(wǎng)絡安全等級保護工作的作用對象,主要包括基礎信息網(wǎng)絡、工業(yè)控制系統(tǒng)、云計算平臺、物聯(lián)網(wǎng)、使用移動互聯(lián)技術的網(wǎng)絡、其他網(wǎng)絡以及大數(shù)據(jù)等。

定級對象基本特征

1)具有唯一確定的安全責任單位;

2)具有信息系統(tǒng)的基本要求;

3)承載單一或相對獨立的業(yè)務應用。

1)具有確定的主要安全責任主體;

2)承載相對獨立的業(yè)務應用;

3)包含相互關聯(lián)的多個資源。

定級特征之外要求

詳細規(guī)定了:基礎信息網(wǎng)絡、 工業(yè)控制系統(tǒng)、云計算平臺、物聯(lián)網(wǎng)、采用移動互聯(lián)技術的網(wǎng)絡和大數(shù)據(jù)必須遵循的其他要求。

特定定級對象說明

對于基礎信息網(wǎng)絡、云計算平臺、大數(shù)據(jù)平臺等支撐類網(wǎng)絡,原則上應不低于其承載的等級保護對象的安全保護等級,大數(shù)據(jù)安全保護等級不低于第三級。

對關鍵信息基礎設施定級要求

原則上其安全保護等級不低于第三級

定級原則

自主定級、自主保護、監(jiān)督指導

明確等級、增強保護、常態(tài)監(jiān)督

備案對象與時限要求


二級以上系統(tǒng),在安全保護等級確定后或新建系統(tǒng)投入使用30日內

第二級以上網(wǎng)絡運營者應當在網(wǎng)絡的安全保護等級確定后10個工作日內

定級要素與安全等級保護關系

見下表

定級流程

直接根據(jù)定級要素與安全等級關系定級

確定定級對象→初步確定等級→專家評審→主管部門審核→公安機關備案審查

作為等保1.0時代的核心體系文件,《管理辦法》并未在主文中規(guī)定當遭受破壞后對公民、法人和其他組織合法權益產(chǎn)生特別嚴重損害的信息系統(tǒng)應當如何定級,只是在GB/T 22240-2008中,將其定義為二級;在2.0時代,在《等保條例》與新GB/T 22240中,都明確定義為三級。


等保1.0中定級要素與安全保護等級的關系

受侵害的客體 

對客體的侵害程度

一般損害

嚴重損害

特別嚴重損害

公民、法人和其他組織的合法權益

第一級

第二級

第二級

社會秩序、公共利益

第二級

第三級

第四級

國家安全

第三級

第四級

第五級

等保2.0體系定級要素與安全保護等級的關系

受侵害的客體 

對客體的侵害程度

一般損害

嚴重損害

特別嚴重損害

公民、法人和其他組織的合法權益

第一級

第二級

第三級

社會秩序、公共利益

第二級

第三級

第四級

國家安全

第三級

第四級

第五級

等級保護2.0制度中,基本技術要求將會帶來怎樣的變化?又將經(jīng)歷怎樣的變化歷程?后續(xù)文章中,靈狐科技將以核心體系文件的變化為依據(jù),在架構、控制措施、新增內容等方面詮釋等保2.0的變化。

服務熱線

138-6598-3726

產(chǎn)品和特性

價格和優(yōu)惠

安徽靈狐網(wǎng)絡公眾號

微信公眾號