2019年5月13日,网络安全等级保护制度2.0标准(以下简称等保2.0标准)正式发布,新标准将于2019年12月1日开始实施。等保2.0标准在1.0标准的基础上,注重全方位主动防御、安全可信、动态感知和全面审计,实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联和工业控制信息系统等保护对象的全覆盖,是国家网络安全领域的基本国策、基本制度和基本方法。今天我们将为大家简略地介绍一下等级保护2.0所发生的变化。
等级保护的概念自1994年提出后,经过20多年的发展和演进,在2.0时代已经有了不小的变化。相比1.0,等级保护2.0在五个等级不变、五个“规定动作”不变、参与方主体职责不变的基础上,在法律法规、标准要求、安全体系、实施环节等方面都有了“变化”。
1、法律法规变化
从条例法规提升到法律层面。等保1.0的最高国家政策是国务院147号令,而等保2.0标准的最高国家政策是网络安全法。不开展等级保护等于违法!
2、标准要求变化
等保2.0标准针对云计算、物联网、移动互联网、工业控制、大数据新技术提出了新的安全扩展要求。使用新技术的信息系统需要同时满足“通用要求+安全扩展”的要求。
通用要求方面,等保2.0标准的核心是“优化”。删除了过时的测评项,对测评项进行合理性改写,新增对新型网络攻击行为防护和个人信息保护等新要求,调整了标准结构、将安全管理中心从管理层面提升至技术层面。
3、安全体系变化
等保2.0标准依然采用“一个中心、三重防护” 的理念,从等保1.0标准被动防御的安全体系向事前预防、事中响应、事后审计的动态保障体系转变。
2.0标准要求针对等级保护对象特点建立安全技术体系和安全管理体系,构建具备相应等级安全保护能力的网络安全综合防御体系,并依据国家网络安全等级保护政策和标准开展组织管理、机制建设、安全规划、通报预警、应急处置、态势感知、能力建设、监督检查、技术检测、队伍建设、教育培训和经费保障等工作。
4、实施环节变化
在等级保护定级、备案、建设整改、等级测评、监督检查的实施过程中,等保2.0标准进行了优化和调整。
相较于等保1.0,等保2.0标准测评周期、测评结果评定有所调整。等保2.0标准要求,第三级以上的系统每年开展一次测评,测评达到75分以上才算基本符合要求,而且还在测评标准中增加了高风险判例,一旦不符合有可能被“一票否决”。
总结
等级保护2.0是网络安全的一次重大升级,将催生国内信息安全市场释放新的巨大需求。 一方面,由于第三级以上的信息系统涉及地市级以上各级政府机关、金融和能源等国家重点行业,为符合等保2.0时代国家网络安全等级保护政策的新要求,将会进一步加大信息安全产品和服务的投入。 另一方面,等保2.0把包括传统网络安全、云计算、物联网、移动互联、工业控制、大数据等在内所有新技术纳入,比等保1.0拓展了一个维度。