5月13日下午,《信息安全技术网络安全等级保护基本要求》(以下简称:等保2.0)正式发布,2019年12月1日起正式实施。标志着等级保护标准正式进入2.0时代。
等保2.0是我国网络安全领域的基本国策、基本制度和基本方法。随着信息技术的发展和网络安全形势的变化,等保2.0在1.0的基础上更加注重全方位主动防御、动态防御、整体防控和精准防护,实现了对云计算、大数据、物联网、移动互联和工业控制信息系统等保护对象全覆盖,以及除个人及家庭自建网络之外的领域全覆盖。
等保2.0国家标准的发布,对加强我国网络安全保障工作、提升网络安全保护能力具有重要意义。
公安部信息安全等级保护评估中心陈广勇
解读《信息安全技术网络安全等级保护基本要求》
国家标准
重点解读
相较于等保1.0,等保2.0发生了以下主要变化:
第一,名称变化。等保2.0将原来的标准《信息安全技术信息系统安全等级保护基本要求》改为《信息安全技术网络安全等级保护基本要求》,与《网络安全法》保持一致。
第二,定级对象变化。等保1.0的定级对象是信息系统,现在2.0更为广泛,包含:信息系统、基础信息网络、云计算平台、大数据平台、物联网系统、工业控制系统、采用移动互联技术的网络等。
第三,安全要求变化。基本要求的内容,由安全要求变革为安全通用要求与安全扩展要求(含云计算、移动互联、物联网、工业控制)。
第四,控制措施分类结构变化。等保2.0依旧保留技术和管理两个维度。在技术上,由物理安全、网络安全、主机安全、应用安全、数据安全,变更为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心;在管理上,结构上没有太大的变化,从安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理,调整为安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。
第五,内容变化。从等保1.0的定级、备案、建设整改、等级测评和监督检查五个规定动作,变更为五个规定动作+新的安全要求(风险评估、安全监测、通报预警、态势感知等)。
等保2.0将进一步提升关键信息基础设施安全。根据谁主管谁负责、谁运营谁负责、谁使用谁负责的原则,网络运营者成为等级保护的责任主体,如何快速高效地通过等级保护测评成为企业开展业务前必须思考的问题。
等保2.0的发布,是对除传统信息系统之外的新型网络系统安全防护能力提升的有效补充,是贯彻落实《中华人民共和国网络安全法》、实现国家网络安全战略目标的基础。未来,效率源将进一步贯彻网络安全等级保护工作精神,加强大数据、人工智能、物联网设备等方向的取证技术、产品、解决方案合规化研发,以先进的电子数据取证技术为手段,更高效、更合理地协助行业用户的等级保护建设工作,从点到面,为我国网络安全建设工作贡献力量。