2019年5月13日����,網(wǎng)絡(luò)安全等級保護制度2.0標(biāo)準(zhǔn)(以下簡稱等保2.0標(biāo)準(zhǔn))正式發(fā)布���,新標(biāo)準(zhǔn)將于2019年12月1日開始實施。等保2.0標(biāo)準(zhǔn)在1.0標(biāo)準(zhǔn)的基礎(chǔ)上���,注重全方位主動防御���、安全可信、動態(tài)感知和全面審計�,實現(xiàn)了對傳統(tǒng)信息系統(tǒng)、基礎(chǔ)信息網(wǎng)絡(luò)�����、云計算�����、大數(shù)據(jù)�、物聯(lián)網(wǎng)、移動互聯(lián)和工業(yè)控制信息系統(tǒng)等保護對象的全覆蓋,是國家網(wǎng)絡(luò)安全領(lǐng)域的基本國策��、基本制度和基本方法�����。今天我們將為大家簡略地介紹一下等級保護2.0所發(fā)生的變化����。
等級保護的概念自1994年提出后,經(jīng)過20多年的發(fā)展和演進���,在2.0時代已經(jīng)有了不小的變化���。相比1.0,等級保護2.0在五個等級不變��、五個“規(guī)定動作”不變�、參與方主體職責(zé)不變的基礎(chǔ)上,在法律法規(guī)����、標(biāo)準(zhǔn)要求、安全體系���、實施環(huán)節(jié)等方面都有了“變化”����。
1、法律法規(guī)變化
從條例法規(guī)提升到法律層面����。等保1.0的最高國家政策是國務(wù)院147號令,而等保2.0標(biāo)準(zhǔn)的最高國家政策是網(wǎng)絡(luò)安全法��。不開展等級保護等于違法���!
2、標(biāo)準(zhǔn)要求變化
等保2.0標(biāo)準(zhǔn)針對云計算�����、物聯(lián)網(wǎng)��、移動互聯(lián)網(wǎng)���、工業(yè)控制����、大數(shù)據(jù)新技術(shù)提出了新的安全擴展要求。使用新技術(shù)的信息系統(tǒng)需要同時滿足“通用要求+安全擴展”的要求��。
通用要求方面��,等保2.0標(biāo)準(zhǔn)的核心是“優(yōu)化”�。刪除了過時的測評項,對測評項進行合理性改寫��,新增對新型網(wǎng)絡(luò)攻擊行為防護和個人信息保護等新要求���,調(diào)整了標(biāo)準(zhǔn)結(jié)構(gòu)�����、將安全管理中心從管理層面提升至技術(shù)層面�。
3��、安全體系變化
等保2.0標(biāo)準(zhǔn)依然采用“一個中心�、三重防護” 的理念,從等保1.0標(biāo)準(zhǔn)被動防御的安全體系向事前預(yù)防�、事中響應(yīng)、事后審計的動態(tài)保障體系轉(zhuǎn)變��。
2.0標(biāo)準(zhǔn)要求針對等級保護對象特點建立安全技術(shù)體系和安全管理體系����,構(gòu)建具備相應(yīng)等級安全保護能力的網(wǎng)絡(luò)安全綜合防御體系��,并依據(jù)國家網(wǎng)絡(luò)安全等級保護政策和標(biāo)準(zhǔn)開展組織管理���、機制建設(shè)、安全規(guī)劃����、通報預(yù)警、應(yīng)急處置����、態(tài)勢感知����、能力建設(shè)、監(jiān)督檢查�����、技術(shù)檢測�����、隊伍建設(shè)、教育培訓(xùn)和經(jīng)費保障等工作�。
4、實施環(huán)節(jié)變化
在等級保護定級�����、備案����、建設(shè)整改、等級測評��、監(jiān)督檢查的實施過程中��,等保2.0標(biāo)準(zhǔn)進行了優(yōu)化和調(diào)整�。
相較于等保1.0,等保2.0標(biāo)準(zhǔn)測評周期�����、測評結(jié)果評定有所調(diào)整����。等保2.0標(biāo)準(zhǔn)要求,第三級以上的系統(tǒng)每年開展一次測評�����,測評達到75分以上才算基本符合要求,而且還在測評標(biāo)準(zhǔn)中增加了高風(fēng)險判例�,一旦不符合有可能被“一票否決”。
總結(jié)
等級保護2.0是網(wǎng)絡(luò)安全的一次重大升級���,將催生國內(nèi)信息安全市場釋放新的巨大需求���。 一方面,由于第三級以上的信息系統(tǒng)涉及地市級以上各級政府機關(guān)���、金融和能源等國家重點行業(yè)�,為符合等保2.0時代國家網(wǎng)絡(luò)安全等級保護政策的新要求��,將會進一步加大信息安全產(chǎn)品和服務(wù)的投入���。 另一方面,等保2.0把包括傳統(tǒng)網(wǎng)絡(luò)安全��、云計算����、物聯(lián)網(wǎng)�、移動互聯(lián)���、工業(yè)控制��、大數(shù)據(jù)等在內(nèi)所有新技術(shù)納入��,比等保1.0拓展了一個維度��。