为什么要做网络安全等级保护?
为什么要做网络安全等级保护
5月13日,网络安全等级保护技术2.0版本(简称等保2.0)正式公开发布,等保2.0覆盖工业控制系统、云计算、大数据、物联网等新技术新应用,为落实信息系统安全工作提供了方向和依据。下面就带您了解一下何为等保2.0。
一、等级保护是什么
网络安全等级保护是国家信息安全保障的基本制度、基本策略、基本方法。网络安全等级保护工作是对信息和信息载体按照重要性等级分级别进行保护的一种工作。信息系统运营、使用单位应当选择符合国家要求的测评机构,依据《信息安全技术网络安全等级保护基本要求》等技术标准,定期对信息系统开展测评工作。
二、为什么要做等级保护
(一)法律规章要求
《网络安全法》明确规定信息系统运营、使用单位应当按照网络安全等级保护制度要求,履行安全保护义务,如果拒不履行,将会受到相应处罚。
(二)行业要求
在金融、电力、广电、医疗、教育、交通等行业,主管单位明确要求从业机构的信息系统要开展等级保护工作。
(三)企业系统安全的需求
信息系统运营、使用单位通过开展等级保护工作可以发现系统内部的安全隐患与不足之处,可通过安全整改提升系统的安全防护能力,降低被攻击的风险。
三、等级保护涉及范围
(一)省辖市以上党政机关的重要网站和办公信息系统;
(二)电信、广电行业的公用通信网、广播电规传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统;
(三)铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。
四、等级保护发展历程
1994年,《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)规定,“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”,等级保护制度正式被提出。
2016年10月,公安部网络安全保卫局对原有国家标准《信息安全技术信息系统安全等级保护基本要求(GB/T 22239-2008)》等系列标准进行修订。2017年6月,《网络安全法》正式出台,信息安全等级保护过渡到网络安全等级保护,法规明确要求国家实施等保制度。2019年5月,随着《信息安全技术网络安全等级保护基本要求(GB/T 22239-2019)》《信息安全技术网络安全等级保护测评要求(GB/T 28448-2019)》等标准的正式发布,标志着等保2.0全面启动。
五、等保1.0与2.0对比
等保2.0将原来的标准《信息安全技术信息系统安全等级保护基本要求》改为《信息安全技术网络安全等级保护基本要求》,与《中华人民共和国网络安全法》中的相关法律条文保持一致。
等保2.0调整各个级别的安全要求为安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求和工业控制系统安全扩展要求。
六、等级保护实施过程
等保2.0将落实到系统建设全生命周期的每个环节,从系统定级、系统备案、建设/整改、等级测评、再到监督与检查,每一环节都需要系统运营、使用单位重点留意。
七、等保2.0的测评内容
等级保护测评分为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全人员管理、安全建设管理、安全运维管理十个层面。