1.2 等保 2.0 时代的主要变化
近年来,随着信息技术的发展和网络安全形势的变化,传统的等保安全要求已无法有效应对安全风险和新技术应用所带来的新威胁,以被动防御为主的防御已经落后了,亟须建立主动保障体系。等保 2.0 标准适时而出,应对新形势、新风险,满足新要求,扩大新内容。
如此“新”的等保 2.0 标准,从法律法规、标准要求、安全体系、实施环节等方面都有了“变化”。
1.法律法规
从条例法规提升到法律层面。等保 1.0 的最高国家政策是《中华人民共和国计算机信息系统实行安全保护条例》,而等保 2.0 标准的最高国家政策是《中华人民共和国网络安全法》。
《中华人民共和国网络安全法》第二十一条要求,国家实行网络安全等级保护制度;第二十五条要求,网络运营者应当制定网络安全事件应急预案;第五十九条明确了,网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告。总而言之,不开展等级保护属于违法!
2.标准要求
等保 2.0 标准在对等保 1.0 标准基本要求进行优化的同时,针对云计算、物联网、移动互联网、工业控制、大数据新技术提出了新的安全扩展要求。也就是说,使用新技术的信息系统需要同时满足“通用要求 + 安全扩展”的要求。并且,针对新的安全形势提出了新的安全要求,标准覆盖度更加全面,安全防护能力有很大提升。通用要求方面,等保 2.0 标准的核心是“优化”。删除了过时的测评项,对测评项进行合理性改写,新增对新型网络攻击行为防护和个人信息保护等要求,调整了标准结构,将安全管理中心从管理层面提升至技术层面。安全扩展要求是等保 2.0 标准的“亮点”,在原有要求的基础上增加了云计算扩展要求、大数据扩展要求、物联网扩展要求、移动互联网扩展要求 4 个新技术要求。
3.安全体系
等保 2.0 标准依然采用“一个中心、三重防护”的理念,从等保 1.0 标准以被动防御为主的安全体系向事前预防、事中响应、事后审计的动态保障体系转变。建立安全技术体系和安全管理体系,构建具备相应等级安全保护能力的网络安全综合防御体系,开展组织管理、机制建设、安全规划、通报预警、应急处置、态势感知、能力建设、监督检查、技术检测、队伍建设、教育培训和经费保障等工作。
4.实施环节
在等级保护定级、备案、建设整改、等级测评、监督检查的实施过程中,等保 2.0标准进行了优化和调整。
定级对象的变化:等保 1.0 标准定级的对象是信息系统,等保 2.0 标准定级的对象扩展至基础信息网络、工业控制系统、云计算平台、物联网、移动互联网、其他网络以及大数据等多个系统平台,覆盖面更广。
定级级别的变化:公民、法人和其他组织的合法权益产生特别严重损害时,相应系统的等级保护级别从 1.0 的第二级调整到了第三级。定级流程的变化:等保 2.0 标准不再自主定级,而是通过“确定定级对象→初步确定等级→专家评审→主管部门审核→公安机关备案审查→最终确定等级”这种线性的定级流程,系统定级必须经过专家评审和主管部门审核,才能到公安机关备案,整体定级更加严格。
相较于等保 1.0 标准,等保 2.0 标准测评周期、测评结果评定有所调整。等保 2.0标准要求,第三级以上的系统每年开展一次测评,测评达到 70 分以上才算基本符合要求。基本分高了,要求更严苛了。
