概述:等级保护2.0是网络安全的一次重大升级,将催生国内信息安全市场将释放新的巨大需求。一方面,由于第三级以上的信息系统涉及地市级以上各级政府机关、金融和能源等国家重点行业,为符合等保2.0时代国家网络安全等级保护政策的新要求,将会进一步加大信息安全产品和服务的投入;另一方面,等保2.0把包括传统网络安全、云计算、物联网、移动互联、工业控制、大数据等在内所有新技术纳入,比等保1.0拓展了一个维度。
网络安全等级保护是国家信息安全保障的基本制度和方法。网络安全等级保护工作是对信息和信息载体按照重要性等级分级别进行保护的一种工作。信息系统运营、使用单位应当选择符合国家要求的测评机构,依据《信息安全技术 网络安全等级保护基本要求》等技术标准,定期对信息系统开展测评工作。
定义:等级保护是对专有信息及信息系统进行分等级保护,对其中的信息安全产品进行按等级管理,对发现的安全事件分等级响应和处置。
区别概述
1)2.0纳入了《中华人民共和国网络安全法》。
2)1.0只针对网络和信息系统,2.0则把云计算、大数据、物联网等新业态也纳入了监管。
3)2.0把监管对象从体制内拓展到了全社会。
标准的内容变化
基本要求的内容由一个基本要求变更为安全通用要求和安全扩展要求(含云计算、移动互联、物联网、工业控制)。GB/T 22239 网络安全等级保护基本要求合并为五部分:安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求、工业控制系统安全扩展要求。
同样,除基本要求(GB/T22239)合并了以上五个部分,设计要求(GB/T25070)和测评要求(GB/T28448)也由各自原有的五个分册分别整合成一册。
等级保护涉及范围扩大
(一) 省辖市以上党政机关的重要网站和办公信息系统;
(二) 电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统;
(三) 铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。
控制措施分类结构的变化
由原来的10个分类调整为8个,分别为技术部分(物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全)、管理部分(安全策略和管理制度、安全管理机构和人员、安全建设管量、安全运维管理)。
取消了安全控制点的标注
为适应定级方法的变化,取消对控制点的“S”、“A”、“G”标注的使用,调整原标准附录B,增加安全控制措施选择时,控制点的标注及使用说明。
保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改的信息安全类要求(简记为S);保护系统连续正常的运行,免受对系统的未授权修改、破坏而导致系统不可用的服务保证类要求(简记为A);其他通用性安全保护类要求(简记为G),所有管理安全要求均为通用性安全保护类要求。
等级保护分为几个等级
分为五个等级,分别为:第一级(自主保护级)、第二级(指导保护级)、第三级(监督保护级)、第四级(强制保护级)、第五级(专控保护级)。
系统的重要程度从1-5级逐级升高。
我们在日常工作中需要进行等级保护测评的系统是2-4级,经常遇到的是二级和三级信息系统,一级系统要求比较低,不需要进行测评,如果某个系统达到五级系统,那么这个系统很可能就已经涉密了,就不是等级保护范畴了,所以在技术要求里也没有五级的相关标准要求。
标准控制点与要求项的变化
新标准在控制点要求项目并没有明显的增加,通过合并整合后反而减少了。各级的要求项明细如下表所示
(转载)