2019年12月1日等保2.0正式實(shí)施
等級保護(hù)2.0時(shí)代正式到來??!
網(wǎng)絡(luò)安全等級保護(hù)2.0時(shí)代,將于2019年12月1日正式開始。
網(wǎng)絡(luò)安全等級保護(hù)制度是我國網(wǎng)絡(luò)安全領(lǐng)域的基本國策、基本制度,等級保護(hù)標(biāo)準(zhǔn)在1.0時(shí)代標(biāo)準(zhǔn)的基礎(chǔ)上,注重主動防御,從被動防御到事前、事中、事后全流程的安全可信、動態(tài)感知和全面審計(jì),實(shí)現(xiàn)了對傳統(tǒng)信息系統(tǒng)、基礎(chǔ)信息網(wǎng)絡(luò)、云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)和工業(yè)控制信息系統(tǒng)等級保護(hù)對象的全覆蓋。
等保1.0和2.0標(biāo)準(zhǔn)的共同點(diǎn)
等級保護(hù)的概念自1994年提出后,經(jīng)過20多年的發(fā)展和演進(jìn),已取得較大成功,網(wǎng)絡(luò)安全法未發(fā)布之前可稱為等保1.0,網(wǎng)絡(luò)安全法發(fā)布之后成為等保2.0,在2.0時(shí)代發(fā)生了較大變化。但萬變不離其宗,等保五個(gè)等級不變、五項(xiàng)工作不變、主體責(zé)任不變。
? 等級保護(hù)“五個(gè)級別”不變;
? 等級保護(hù)“規(guī)定動作”不變,定級、備案、建設(shè)整改、等級測評、監(jiān)督檢查;
? 等級保護(hù)“主體職責(zé)”不變。
等保1.0和2.0標(biāo)準(zhǔn)之間的變化
近年來,隨著信息技術(shù)的發(fā)展和網(wǎng)絡(luò)安全形勢的變化,等保1.0要求已無法有效應(yīng)對新的安全風(fēng)險(xiǎn)和新技術(shù)應(yīng)用所帶來的新威脅,等保1.0被動防御為主的防御無法滿足當(dāng)前發(fā)展要求,因此急需建立一套主動防御體系。等保2.0適時(shí)而出,從法律法規(guī)、標(biāo)準(zhǔn)要求、安全體系、實(shí)施環(huán)節(jié)等方面都有了變化。
1、標(biāo)準(zhǔn)依據(jù)的變化
從條例法規(guī)提升到法律層面。等保1.0的最高國家政策是國務(wù)院147號令,而等保2.0標(biāo)準(zhǔn)的最高國家政策是網(wǎng)絡(luò)安全法,其中《中華人民共和國網(wǎng)絡(luò)安全法》第二十一條要求,國家實(shí)施網(wǎng)絡(luò)安全等級保護(hù)制度;第二十五條要求,網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案;第三十一條則要求,關(guān)鍵基礎(chǔ)設(shè)施,在網(wǎng)絡(luò)安全等級保護(hù)制度的基礎(chǔ)上,實(shí)行重點(diǎn)保護(hù);第五十九條規(guī)定的網(wǎng)絡(luò)安全保護(hù)義務(wù)的,由有關(guān)主管部門給予處罰。因此不開展等級保護(hù)等于違法。
2、標(biāo)準(zhǔn)要求變化
等級2.0在1.0基本上進(jìn)行了優(yōu)化,同時(shí)對云計(jì)算、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)、工業(yè)控制、大數(shù)據(jù)新技術(shù)提出了新的安全擴(kuò)展要求。在使用新技術(shù)的信息系統(tǒng)需要同時(shí)滿足“通用要求+擴(kuò)展要求”。且針對新的安全形勢提出了新的安全要求,標(biāo)準(zhǔn)覆蓋度更加全面,安全防護(hù)能力有很大提升。
通用要求方面,等保2.0標(biāo)準(zhǔn)的核心是優(yōu)化。刪除了過時(shí)的測評項(xiàng),對測評項(xiàng)進(jìn)行合理改寫,新增對新型網(wǎng)絡(luò)攻擊行為防護(hù)和個(gè)人信息保護(hù)等新要求,調(diào)整了標(biāo)準(zhǔn)結(jié)構(gòu)、將安全管理中心從管理層面提升至技術(shù)層面。
擴(kuò)展要求擴(kuò)展了云計(jì)算、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)、工業(yè)控制、大數(shù)據(jù)。
3、安全體系變化
等保2.0相關(guān)標(biāo)準(zhǔn)依然采用“一個(gè)中心、三重防護(hù)”的理念,從等保1.0被動防御的安全體系向事前防御、事中相應(yīng)、事后審計(jì)的動態(tài)保障體系轉(zhuǎn)變。建立安全技術(shù)體系和安全管理體系,構(gòu)建具備相應(yīng)等級安全保護(hù)能力的網(wǎng)絡(luò)安全綜合防御體系,開展組織管理、機(jī)制建設(shè)、安全規(guī)劃、通報(bào)預(yù)警、應(yīng)急處置、態(tài)勢感知、能力建設(shè)、監(jiān)督檢查、技術(shù)檢測、隊(duì)伍建設(shè)、教育培訓(xùn)和經(jīng)費(fèi)保障等工作。
4、等級規(guī)定動作
保護(hù)定級、備案、建設(shè)整改、等級測評、監(jiān)督檢查的實(shí)施過程中,等保2.0進(jìn)行了優(yōu)化和調(diào)整。
(1)定級對象的變化。
等保1.0定級的對象是信息系統(tǒng),等保2.0的定級對象擴(kuò)展至基礎(chǔ)信息網(wǎng)絡(luò)、工業(yè)控制系統(tǒng)、云計(jì)算平臺、物聯(lián)網(wǎng)、使用移動互聯(lián)技術(shù)的網(wǎng)絡(luò)、其他網(wǎng)絡(luò)以及大數(shù)據(jù)等多個(gè)系統(tǒng)平臺,覆蓋面更廣。
(2)定級級別的變化。
公民、法人和其他組織的合法權(quán)益產(chǎn)生特別嚴(yán)重?fù)p害時(shí),相應(yīng)系統(tǒng)的等級保護(hù)級別從1.0的第二級調(diào)整到了第三級(根據(jù)GA/T1389)。
(3)定級流程的變化。
等保2.0標(biāo)準(zhǔn)不再自主定級,二級及以上系統(tǒng)定級必須經(jīng)過專家評審和主管部門審核,才能到公安機(jī)關(guān)備案,整體定級更加嚴(yán)格。
(4)測評合格要求提高
相較于等保1.0,等保2.0測評達(dá)的標(biāo)準(zhǔn)發(fā)生了變化,2.0中測評結(jié)論分為:優(yōu)(90分及以上)、良(80分及以上)、中(70分及以上)、差(低于70分),70分以上才算基本符合要求,基本分調(diào)高了,測評要求更加嚴(yán)格。
等保2.0只是開始
根據(jù)網(wǎng)絡(luò)安全法及等級保護(hù)相關(guān)要求,企業(yè)或單位應(yīng)該按照網(wǎng)絡(luò)安全法要求嚴(yán)格落實(shí)等級保護(hù)制度、履行網(wǎng)絡(luò)安全責(zé)任、加強(qiáng)網(wǎng)絡(luò)安全防護(hù)、不斷提高網(wǎng)絡(luò)抗攻擊能力,因此還應(yīng)定期開展網(wǎng)絡(luò)的等級測評、風(fēng)險(xiǎn)評估、滲透測試、安全培訓(xùn)、安全運(yùn)維、重要時(shí)期的安全保障、日常的應(yīng)急響應(yīng)和安全通報(bào)等工作。通過這些工作夯實(shí)網(wǎng)絡(luò)安全工作的各個(gè)層面,提高安全水平和防御能力,保障企業(yè)或單位的網(wǎng)絡(luò)系統(tǒng)穩(wěn)定運(yùn)行。