关于等保2.0需求方需要了解的核心内容
等级保护2.0核心国家标准于5月13日正式发布。老板们需要对等保2.0的核心所有掌握,方能正确认识等保2.0,管控好网络安全保障工作和履行好网络安全保护义务,核心内容包括等保2.0的地位、实施时间、适用范围、与CII关系、基本要求、结果导向、保护体系、定级备案、测评周期、测评结果等。
2实施时间
2019年12月1日。
3适用范围
从信息系统,扩充到基础信息网络、云计算、大数据、物联网、移动互联和工业控制系统等保护对象。
4与CII关系
升级为“通用要求+安全扩展”的形式,具体内容由1套安全通用要求和云计算、移动互联、物联网、工业控制系统等4套扩展要求组成,另外在附录H中给出了供大数据系统参考可补充的安全控制措施。
6结果导向
从基本要求维度来说,等保1.0站在安全控制项的角度提安全要求,等保2.0站在安全能力的角度提安全要求;从测评维度来说,等保1.0的测评更注重关键要素的满足,等保2.0的测评从评测流程和评测标准上做了规范性说明,更关注实际的安全效果,而非老标准下安全制度和产品的简单堆叠。
7保护体系
等保2.0依然采用“一个中心、三重防护”的体系理念,但对体系的能力做了大升级。一个中心指“安全管理中心”,三重防护指“安全计算环境、安全区域边界、安全通信网络”。等保2.0把“安全管理中心”从管理层面提升到技术层面,专门进行要求,包括“系统管理、审计管理、安全管理、集中管控“等,这是为了满足等保2.0的核心变化(从被动防御转变为主动防御、动态防御)。完善的网络安全分析能力、未知威胁的检测能力、安全工作的执行能力将成为等保2.0的关键需求。
8定级备案
“确定定级对象—>初步确定等级—>专家评审—>主管部门审核—>公安机关备案审查—>最终确定等级”,系统定级必须经过专家评审和主管部门审核,才能到公安机关备案(等保1.0时代“自主定级、自主保护”升级为以国家行政机关持续监督的“明确等级、增强保护、常态监督”)。
9测评周期
三级和四级系统都是一年测评一次(等保1.0时代,要求四级系统每半年测评一次,即一年测评两次)。
10测评结果
测评达到75分以上才算基本符合(过等保不再容易,等保工作需要扎扎实实做好)。
2019年5月13日,国家市场监督管理总局、国家标准化管理委员会召开新闻发布会,正式发布等级保护2.0核心国家标准,包括《GB/T 22239-2019 信息安全技术网络安全等级保护基本要求》、《GB/T 25070-2019 信息安全技术网络安全等级保护安全设计技术要求》和《GB/T 28448-2019 信息安全技术网络安全等级保护测评要求》。
关于等保2.0,有10个核心需要老板知晓
1地位
等保2.0是“网络安全等级保护制度”的别称,《网络安全法》赋予等保2.0法律地位。《网络安全法》第21条规定”国家实行网络安全等级保护制度”,第59条规定“网络运营者不履行本法第21条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款”。
2实施时间
2019年12月1日。
3适用范围
从信息系统,扩充到基础信息网络、云计算、大数据、物联网、移动互联和工业控制系统等保护对象。
4与CII关系
《网络安全法》第31条规定“关键信息基础设施(简称CII),在网络安全等级保护制度的基础上,实行重点保护”;等保2.0对关键信息基础设施的定级做了“定级原则上不低于三级”的指导(换个角度理解,在第三级(含)以上系统中确定关键信息基础设施)。
5
基本要求升级为“通用要求+安全扩展”的形式,具体内容由1套安全通用要求和云计算、移动互联、物联网、工业控制系统等4套扩展要求组成,另外在附录H中给出了供大数据系统参考可补充的安全控制措施。
6结果导向
从基本要求维度来说,等保1.0站在安全控制项的角度提安全要求,等保2.0站在安全能力的角度提安全要求;从测评维度来说,等保1.0的测评更注重关键要素的满足,等保2.0的测评从评测流程和评测标准上做了规范性说明,更关注实际的安全效果,而非老标准下安全制度和产品的简单堆叠。
7保护体系
等保2.0依然采用“一个中心、三重防护”的体系理念,但对体系的能力做了大升级。一个中心指“安全管理中心”,三重防护指“安全计算环境、安全区域边界、安全通信网络”。等保2.0把“安全管理中心”从管理层面提升到技术层面,专门进行要求,包括“系统管理、审计管理、安全管理、集中管控“等,这是为了满足等保2.0的核心变化(从被动防御转变为主动防御、动态防御)。完善的网络安全分析能力、未知威胁的检测能力、安全工作的执行能力将成为等保2.0的关键需求。
8定级备案
“确定定级对象—>初步确定等级—>专家评审—>主管部门审核—>公安机关备案审查—>最终确定等级”,系统定级必须经过专家评审和主管部门审核,才能到公安机关备案(等保1.0时代“自主定级、自主保护”升级为以国家行政机关持续监督的“明确等级、增强保护、常态监督”)。
9测评周期
三级和四级系统都是一年测评一次(等保1.0时代,要求四级系统每半年测评一次,即一年测评两次)。
10测评结果
测评达到75分以上才算基本符合(过等保不再容易,等保工作需要扎扎实实做好)。