來源 自主可控新鮮事
等保2.0全稱【網(wǎng)絡安全等級保護2.0制度】是我國網(wǎng)絡安全領域的基本國策、基本制度。等級保護標準在1.0時代標準的基礎上,注重主動防御,從被動防御到事前、事中、事后全流程的安全可信、動態(tài)感知和全面審計,實現(xiàn)了對傳統(tǒng)信息系統(tǒng)、基礎信息網(wǎng)絡、云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)和工業(yè)控制信息系統(tǒng)等級保護對象的全覆蓋。
相較于等保1.0,等保2.0有哪些不變?
1、五個級別不變
從第一級到第五級依次是:用戶自主保護級、系統(tǒng)審計保護級、安全標記保護級、結構化保護級、訪問驗證保護級。
2、規(guī)定動作不變
規(guī)定動作分別為:定級、備案、建設整改、等級測評、監(jiān)督檢查。
3、主體職責不變
等級保護的主體職責為:網(wǎng)安對定級對象的備案受理及監(jiān)督檢查職責、第三方測評機構對定級對象的安全評估職責、上級主管單位對所屬單位的安全管理職責、運營使用單位對定級對象的等級保護職責。
等保2.0有哪些變化?
隨著信息技術的發(fā)展和網(wǎng)絡安全形勢的變化,等保1.0要求已無法有效應對新的安全風險和新技術應用所帶來的新威脅,等保1.0被動防御為主的防御無法滿足當前發(fā)展要求,因此急需建立一套主動防御體系。等保2.0適時而出,從法律法規(guī)、標準要求、安全體系、實施環(huán)節(jié)等方面都有了變化:
1.標準依據(jù)的變化
從條例法規(guī)提升到法律層面。等保1.0的最高國家政策是國務院147號令,而等保2.0標準的最高國家政策是網(wǎng)絡安全法,其中《中華人民共和國網(wǎng)絡安全法》第二十一條要求,國家實施網(wǎng)絡安全等級保護制度;第二十五條要求,網(wǎng)絡運營者應當制定網(wǎng)絡安全事件應急預案;第三十一條則要求,關鍵基礎設施,在網(wǎng)絡安全等級保護制度的基礎上,實行重點保護;第五十九條規(guī)定的網(wǎng)絡安全保護義務的,由有關主管部門給予處罰。因此不開展等級保護等于違法。
2.標準要求變化
等級2.0在1.0基本上進行了優(yōu)化,同時對云計算、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)、工業(yè)控制、大數(shù)據(jù)新技術提出了新的安全擴展要求。在使用新技術的信息系統(tǒng)需要同時滿足“通用要求+擴展要求”。且針對新的安全形勢提出了新的安全要求,標準覆蓋度更加全面,安全防護能力有很大提升。
通用要求方面,等保2.0標準的核心是優(yōu)化。刪除了過時的測評項,對測評項進行合理改寫,新增對新型網(wǎng)絡攻擊行為防護和個人信息保護等新要求,調(diào)整了標準結構、將安全管理中心從管理層面提升至技術層面。
擴展要求擴展了云計算、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)、工業(yè)控制、大數(shù)據(jù)。
3.安全體系變化
等保2.0相關標準依然采用“一個中心、三重防護”的理念,從等保1.0被動防御的安全體系向事前防御、事中相應、事后審計的動態(tài)保障體系轉(zhuǎn)變。建立安全技術體系和安全管理體系,構建具備相應等級安全保護能力的網(wǎng)絡安全綜合防御體系,開展組織管理、機制建設、安全規(guī)劃、通報預警、應急處置、態(tài)勢感知、能力建設、監(jiān)督檢查、技術檢測、隊伍建設、教育培訓和經(jīng)費保障等工作。
4.等級規(guī)定動作
保護定級、備案、建設整改、等級測評、監(jiān)督檢查的實施過程中,等保2.0進行了優(yōu)化和調(diào)整。
1)定級對象的變化
等保1.0定級的對象是信息系統(tǒng),等保2.0的定級對象擴展至基礎信息網(wǎng)絡、工業(yè)控制系統(tǒng)、云計算平臺、物聯(lián)網(wǎng)、使用移動互聯(lián)技術的網(wǎng)絡、其他網(wǎng)絡以及大數(shù)據(jù)等多個系統(tǒng)平臺,覆蓋面更廣。
2)定級級別的變化
公民、法人和其他組織的合法權益產(chǎn)生特別嚴重損害時,相應系統(tǒng)的等級保護級別從1.0的第二級調(diào)整到了第三級(根據(jù)GA/T1389)。
3)定級流程的變化
等保2.0標準不再自主定級,二級及以上系統(tǒng)定級必須經(jīng)過專家評審和主管部門審核,才能到公安機關備案,整體定級更加嚴格。
4)測評合格要求提高
相較于等保1.0,等保2.0測評的標準發(fā)生了變化,以前4級系統(tǒng)半年要測評一次,現(xiàn)在3級及以上系統(tǒng)每年做一次。1.0里60分以上算及格,2.0中測評結論分為:優(yōu)(90分及以上)、良(80分及以上)、中(70分及以上)、差(低于70分),70分以上才算基本符合要求,基本分調(diào)高了,測評要求更加嚴格。
同時,等保2.0在測評項也新增四類新要求,入侵防范、惡意代碼防范、安全審計、集中管控。
等保2.0的實施對企業(yè)有什么影響?
根據(jù)誰主管誰負責、誰運營誰負責、誰使用誰負責的原則,網(wǎng)絡運營者成為等級保護的責任主體,如何快速高效地通過等級保護測評成為企業(yè)開展業(yè)務前必須思考的問題。
等保2.0有5個運行步驟:定級、備案、建設和整改、等級測評、檢查。同時,也分5個等級,即信息系統(tǒng)按重要程度由低到高分為5個等級,并分別實施不同的保護策略。
相關處罰措施有:
《網(wǎng)絡安全法》第五十九條規(guī)定:
1、網(wǎng)絡運營者不履行義務的:由有關主管部門責令改正,給予警告;拒不改正或者導致危害網(wǎng)絡安全等后果的,處一萬元以上十萬元以下罰款,對直接負責的主管人員處五千元以上五萬元以下罰款。
2、關鍵信息基礎設施的運營者不履行義務的 :由有關主管部門責令改正,給予警告;拒不改正或者導致危害網(wǎng)絡安全等后果的,處十萬元以上一百萬元以下罰款,對直接負責的主管人員處一萬元以上十萬元以下罰款。
劃重點:用戶單位不做等級保護測評,單位需要被罰款1萬-100萬;主管人員需要被罰款5000-100000。
罰款事小,安全事大哦~