關(guān)于等保2.0需求方需要了解的核心內(nèi)容
2019年5月13日,國家市場(chǎng)監(jiān)督管理總局、國家標(biāo)準(zhǔn)化管理委員會(huì)召開新聞發(fā)布會(huì),正式發(fā)布等級(jí)保護(hù)2.0核心國家標(biāo)準(zhǔn),包括《GB/T 22239-2019 信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》、《GB/T 25070-2019 信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》和《GB/T 28448-2019 信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》。
關(guān)于等保2.0,有10個(gè)核心需要老板知曉
1地位
等保2.0是“網(wǎng)絡(luò)安全等級(jí)保護(hù)制度”的別稱,《網(wǎng)絡(luò)安全法》賦予等保2.0法律地位?!毒W(wǎng)絡(luò)安全法》第21條規(guī)定”國家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度”,第59條規(guī)定“網(wǎng)絡(luò)運(yùn)營者不履行本法第21條規(guī)定的網(wǎng)絡(luò)安全保護(hù)義務(wù)的,由有關(guān)主管部門責(zé)令改正,給予警告;拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的,處一萬元以上十萬元以下罰款,對(duì)直接負(fù)責(zé)的主管人員處五千元以上五萬元以下罰款”。
2實(shí)施時(shí)間
2019年12月1日。
3適用范圍
從信息系統(tǒng),擴(kuò)充到基礎(chǔ)信息網(wǎng)絡(luò)、云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)和工業(yè)控制系統(tǒng)等保護(hù)對(duì)象。
4與CII關(guān)系
《網(wǎng)絡(luò)安全法》第31條規(guī)定“關(guān)鍵信息基礎(chǔ)設(shè)施(簡(jiǎn)稱CII),在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上,實(shí)行重點(diǎn)保護(hù)”;等保2.0對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的定級(jí)做了“定級(jí)原則上不低于三級(jí)”的指導(dǎo)(換個(gè)角度理解,在第三級(jí)(含)以上系統(tǒng)中確定關(guān)鍵信息基礎(chǔ)設(shè)施)。
5
基本要求升級(jí)為“通用要求+安全擴(kuò)展”的形式,具體內(nèi)容由1套安全通用要求和云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)等4套擴(kuò)展要求組成,另外在附錄H中給出了供大數(shù)據(jù)系統(tǒng)參考可補(bǔ)充的安全控制措施。
6結(jié)果導(dǎo)向
從基本要求維度來說,等保1.0站在安全控制項(xiàng)的角度提安全要求,等保2.0站在安全能力的角度提安全要求;從測(cè)評(píng)維度來說,等保1.0的測(cè)評(píng)更注重關(guān)鍵要素的滿足,等保2.0的測(cè)評(píng)從評(píng)測(cè)流程和評(píng)測(cè)標(biāo)準(zhǔn)上做了規(guī)范性說明,更關(guān)注實(shí)際的安全效果,而非老標(biāo)準(zhǔn)下安全制度和產(chǎn)品的簡(jiǎn)單堆疊。
7保護(hù)體系
等保2.0依然采用“一個(gè)中心、三重防護(hù)”的體系理念,但對(duì)體系的能力做了大升級(jí)。一個(gè)中心指“安全管理中心”,三重防護(hù)指“安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)”。等保2.0把“安全管理中心”從管理層面提升到技術(shù)層面,專門進(jìn)行要求,包括“系統(tǒng)管理、審計(jì)管理、安全管理、集中管控“等,這是為了滿足等保2.0的核心變化(從被動(dòng)防御轉(zhuǎn)變?yōu)橹鲃?dòng)防御、動(dòng)態(tài)防御)。完善的網(wǎng)絡(luò)安全分析能力、未知威脅的檢測(cè)能力、安全工作的執(zhí)行能力將成為等保2.0的關(guān)鍵需求。
8定級(jí)備案
“確定定級(jí)對(duì)象—>初步確定等級(jí)—>專家評(píng)審—>主管部門審核—>公安機(jī)關(guān)備案審查—>最終確定等級(jí)”,系統(tǒng)定級(jí)必須經(jīng)過專家評(píng)審和主管部門審核,才能到公安機(jī)關(guān)備案(等保1.0時(shí)代“自主定級(jí)、自主保護(hù)”升級(jí)為以國家行政機(jī)關(guān)持續(xù)監(jiān)督的“明確等級(jí)、增強(qiáng)保護(hù)、常態(tài)監(jiān)督”)。
9測(cè)評(píng)周期
三級(jí)和四級(jí)系統(tǒng)都是一年測(cè)評(píng)一次(等保1.0時(shí)代,要求四級(jí)系統(tǒng)每半年測(cè)評(píng)一次,即一年測(cè)評(píng)兩次)。
10測(cè)評(píng)結(jié)果
測(cè)評(píng)達(dá)到75分以上才算基本符合(過等保不再容易,等保工作需要扎扎實(shí)實(shí)做好)。