等级保护测评认证2.0详解
来源:本站
作者:中联信科
日期:2023-05-23 18:40:52
浏览:
718
2019年5月13日,国家市场监督管理总局召开新闻发布会,正式发布《信息安全技术网络安全等级保护基本要求》2.0版本,等保2.0于2019年12月1日正式实施。
等保2.0对安全等保工作提出了新要求。那么,什么是等保?等保2.0相比等保1.0有哪些区别呢?针对这些问题,为大家解读等保2.0,以便大家深入了解国家网络安全等级保护的基本要求。
什么是等保?
等保,即网络安全等级保护标准。2007年我国信息安全等级保护制度正式实施。
等保,是我国非涉密信息系统网络安全建设的重要标准。是我国信息安全保障的基本制度、基本策略、基本方法。对网络和信息系统按照重要性等级分级别保护,安全保护等级越高,要求安全保护能力就越强。
什么是等保1.0?
2007年颁布实施的《信息安全技术信息系统安全等级保护基本要求》,即等保1.0。
等保1.0,普及了等保概念,强化了安全意识。从单个系统到部门、行业,再上升到国家层面从合规到攻防对抗,整体提升了网络安全保障能力技术并且不断进行人才的积累,为等保2.0提供了有力的支撑。
什么是等保2.0?
2019年5月10日《信息安全技术网络安全等级保护基本要求》正式发布,2019年12月1日开始实施,即等保2.0。
等保2.0,是我国网络安全领域的基本国策、基本制度。在等保1.0标准的基础上,注重主动防御,从被动防御到事前、事中、事后全流程的安全可信、动态感知和全面审计;实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联网和工业控制信息系统等级保护对象的全覆盖。
等保2.0与等保1.0的区别?
等保2.0,在法律法规、标准要求、安全体系、实施环节等方面有了变化。
等保2.0,五个等级、五项工作、主题职责延续等保1.0,保持不变。
等保1.0和等保2.0不变的内容有哪些
等保2.0,法律法规、标准要求、安全体系等方面都发生了变化。
标准依据的变化
从条例法规提升到法律层面。
等保2.0规定动作扩展
等保2.0规定动作扩展
标准要求变化
等级2.0在1.0基本上,对云计算、物联网、移动互联网、工业控制、大数据新技术提出了新的安全扩展要求。
标准要求变化
安全体系变化
等保2.0依旧采用“一个中心、三重防护”的理念;从等保1.0被动防御的安全体系向事前防御、事中相应、事后审计的动态保障体系转变。
为什么要实施等保2.0?
随着信息技术的发展和网络安全形势的变化,等保1.0已无法有效应对新的安全风险和新技术应用所带来的新威胁。
为适应新技术的发展,解决云计算、物联网、移动互联和工控领域信息系统的等级保护工作的需要,由公安部牵头组织开展了信息技术新领域等级保护重点标准申报国家标准的工作,等级保护正式进入2.0时代。
等保2.0的实施对企业有什么影响?
根据“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则,网络运营者成为等级保护的责任主体,如何快速高效地通过等级保护测评成为企业开展业务前必须思考的问题。
等保2.0有5个运行步骤:定级、备案、建设和整改、等级测评、检查。同时,也分5个等级,即信息系统按重要程度由低到高分为5个等级,并分别实施不同的保护策略。
等保2.0定级依据
《网络安全法》第五十九条规定:
网络运营者不履行义务的:由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
关键信息基础设施的运营者不履行义务的 :由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
用户单位不做等级保护测评,用户单位需要被罚款1万-100万;主管人员需要被罚款5000-100000。
什么系统需要遵守等保2.0?
由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统,被称为等级保护的对象,这些系统都要遵守等保2.0的相关标准。
等级保护对象,主要包括基础信息网络、工业控制系统、云计算平台、物联网使用移动互联技术的网络、其他网络以及大数据等多个系统平台。
等保2.0常见注意事项
等级测评并非网络安全认证
等级保护测评没有相应的证书。目前主要由公安部授权委托的测评机构,对信息系统进行安全测评并出具《等级保护测评报告》。
等保制度只是基本要求
企业通过落实等保安全要求,并严格执行各项安全管理的规章制度,基本能做到系统的安全稳定运行。但依然不能百分百保证系统的安全性。安全是一个动态而非静止的过程,不是通过一次测评,就可以一劳永逸的。
内网系统也需要做等级测评
《网络安全法》规定,等级保护的对象是在中华人民共和国境内建设、运营、维护和使用的网络与信息系统。因此,不管是内网还是外网系统,都需要符合等级保护安全的要求。
系统上云或者托管在其他地方就也需做等级测评
根据“谁运营谁负责,谁使用谁负责,谁主管谁负责”的原则,系统责任主体仍然还是属于网络运营者自己。因此,企业还是得承担相应的网络安全责任,该进行系统定级的还是得定级,该做等保的还是得做等保。
不可根据自己的主观意愿来定级
等保1.0的要求是自主定级,有主管部门的需要主管部门审核,最终报送公安机关进行审核。
等保2.0之后定级流程新增了“专家评审”和“主管部门审核”两个环节,定级过程将会变得更加规范、准确。
系统备案场所
《信息安全等级保护管理办法》规定,等级保护的主体单位为信息系统的运营、使用单位。备案主体一般不会是开发商、系统集成商,而是最终的用户方。
目前有些单位的注册地跟运营地不一致,正常情况下需要去运营地区的网安部门办理备案手续。