2019年5月13日��,網(wǎng)絡安全等級保護制度2.0標準(以下簡稱等保2.0標準)正式發(fā)布,新標準將于2019年12月1日開始實施。等保2.0標準在1.0標準的基礎上,注重全方位主動防御、安全可信��、動態(tài)感知和全面審計�,實現(xiàn)了對傳統(tǒng)信息系統(tǒng)�����、基礎信息網(wǎng)絡�����、云計算���、大數(shù)據(jù)��、物聯(lián)網(wǎng)�、移動互聯(lián)和工業(yè)控制信息系統(tǒng)等保護對象的全覆蓋��,是國家網(wǎng)絡安全領域的基本國策����、基本制度和基本方法���。今天我們將為大家簡略地介紹一下等級保護2.0所發(fā)生的變化�����。
等級保護的概念自1994年提出后�����,經(jīng)過20多年的發(fā)展和演進����,在2.0時代已經(jīng)有了不小的變化。相比1.0���,等級保護2.0在五個等級不變����、五個“規(guī)定動作”不變��、參與方主體職責不變的基礎上��,在法律法規(guī)����、標準要求���、安全體系、實施環(huán)節(jié)等方面都有了“變化”��。
1��、法律法規(guī)變化
從條例法規(guī)提升到法律層面���。等保1.0的最高國家政策是國務院147號令�����,而等保2.0標準的最高國家政策是網(wǎng)絡安全法����。不開展等級保護等于違法��!
2�、標準要求變化
等保2.0標準針對云計算、物聯(lián)網(wǎng)��、移動互聯(lián)網(wǎng)���、工業(yè)控制���、大數(shù)據(jù)新技術提出了新的安全擴展要求。使用新技術的信息系統(tǒng)需要同時滿足“通用要求+安全擴展”的要求��。
通用要求方面�,等保2.0標準的核心是“優(yōu)化”。刪除了過時的測評項����,對測評項進行合理性改寫,新增對新型網(wǎng)絡攻擊行為防護和個人信息保護等新要求�,調整了標準結構、將安全管理中心從管理層面提升至技術層面��。
3��、安全體系變化
等保2.0標準依然采用“一個中心�、三重防護” 的理念,從等保1.0標準被動防御的安全體系向事前預防���、事中響應�、事后審計的動態(tài)保障體系轉變��。
2.0標準要求針對等級保護對象特點建立安全技術體系和安全管理體系�����,構建具備相應等級安全保護能力的網(wǎng)絡安全綜合防御體系,并依據(jù)國家網(wǎng)絡安全等級保護政策和標準開展組織管理���、機制建設��、安全規(guī)劃����、通報預警���、應急處置����、態(tài)勢感知�����、能力建設�、監(jiān)督檢查、技術檢測����、隊伍建設��、教育培訓和經(jīng)費保障等工作。
4�����、實施環(huán)節(jié)變化
在等級保護定級����、備案、建設整改�����、等級測評��、監(jiān)督檢查的實施過程中����,等保2.0標準進行了優(yōu)化和調整。
相較于等保1.0��,等保2.0標準測評周期�����、測評結果評定有所調整。等保2.0標準要求�����,第三級以上的系統(tǒng)每年開展一次測評�����,測評達到75分以上才算基本符合要求����,而且還在測評標準中增加了高風險判例,一旦不符合有可能被“一票否決”�����。
總結
等級保護2.0是網(wǎng)絡安全的一次重大升級���,將催生國內信息安全市場釋放新的巨大需求�����。 一方面�,由于第三級以上的信息系統(tǒng)涉及地市級以上各級政府機關�����、金融和能源等國家重點行業(yè)��,為符合等保2.0時代國家網(wǎng)絡安全等級保護政策的新要求�,將會進一步加大信息安全產(chǎn)品和服務的投入���。 另一方面��,等保2.0把包括傳統(tǒng)網(wǎng)絡安全��、云計算����、物聯(lián)網(wǎng)�����、移動互聯(lián)��、工業(yè)控制���、大數(shù)據(jù)等在內所有新技術納入���,比等保1.0拓展了一個維度�����。