何为等保2.0?它对企业信息安全会带来什么影响?

作者:市场部        文章来源:HuoRo.Com        更新时间:2019-12-02 11:21:28
关键字: 信息安全

随着我国信息安全保密制度的完善,于本月起,我们将迎来信息安全等级保护的2.时代,为什么说是2.0时代。2.0与1.0又有什么差异,这样的升级对企业来说又有什么样的影响呢。我们一起来看看。

等级保护2.0时代正式到来!!

网络安全等级保护2.0时代,将于2019年12月1日正式开始。

网络安全等级保护制度是我国网络安全领域的基本国策、基本制度,等级保护标准在1.0时代标准的基础上,注重主动防御,从被动防御到事前、事中、事后全流程的安全可信、动态感知和全面审计,实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联网和工业控制信息系统等级保护对象的全覆盖。

等保1.0和2.0标准的共同点

等级保护的概念自1994年提出后,经过20多年的发展和演进,已取得较大成功,网络安全法未发布之前可称为等保1.0,网络安全法发布之后成为等保2.0,在2.0时代发生了较大变化。但万变不离其宗,等保五个等级不变、五项工作不变、主体责任不变。

◾ 等级保护“五个级别”不变;

◾ 等级保护“规定动作”不变,定级、备案、建设整改、等级测评、监督检查;

◾ 等级保护“主体职责”不变。

等保1.0和2.0标准之间的变化

近年来,随着信息技术的发展和网络安全形势的变化,等保1.0要求已无法有效应对新的安全风险和新技术应用所带来的新威胁,等保1.0被动防御为主的防御无法满足当前发展要求,因此急需建立一套主动防御体系。等保2.0适时而出,从法律法规、标准要求、安全体系、实施环节等方面都有了变化。

1、标准依据的变化

从条例法规提升到法律层面。等保1.0的最高国家政策是国务院147号令,而等保2.0标准的最高国家政策是网络安全法,其中《中华人民共和国网络安全法》第二十一条要求,国家实施网络安全等级保护制度;第二十五条要求,网络运营者应当制定网络安全事件应急预案;第三十一条则要求,关键基础设施,在网络安全等级保护制度的基础上,实行重点保护;第五十九条规定的网络安全保护义务的,由有关主管部门给予处罚。因此不开展等级保护等于违法。

2、标准要求变化

等级2.0在1.0基本上进行了优化,同时对云计算、物联网、移动互联网、工业控制、大数据新技术提出了新的安全扩展要求。在使用新技术的信息系统需要同时满足“通用要求+扩展要求”。且针对新的安全形势提出了新的安全要求,标准覆盖度更加全面,安全防护能力有很大提升。

通用要求方面,等保2.0标准的核心是优化。删除了过时的测评项,对测评项进行合理改写,新增对新型网络攻击行为防护和个人信息保护等新要求,调整了标准结构、将安全管理中心从管理层面提升至技术层面。

扩展要求扩展了云计算、物联网、移动互联网、工业控制、大数据。

3、安全体系变化

等保2.0相关标准依然采用“一个中心、三重防护”的理念,从等保1.0被动防御的安全体系向事前防御、事中相应、事后审计的动态保障体系转变。建立安全技术体系和安全管理体系,构建具备相应等级安全保护能力的网络安全综合防御体系,开展组织管理、机制建设、安全规划、通报预警、应急处置、态势感知、能力建设、监督检查、技术检测、队伍建设、教育培训和经费保障等工作。

4、等级规定动作

保护定级、备案、建设整改、等级测评、监督检查的实施过程中,等保2.0进行了优化和调整。

(1)定级对象的变化。

等保1.0定级的对象是信息系统,等保2.0的定级对象扩展至基础信息网络、工业控制系统、云计算平台、物联网、使用移动互联技术的网络、其他网络以及大数据等多个系统平台,覆盖面更广。

(2)定级级别的变化。

公民、法人和其他组织的合法权益产生特别严重损害时,相应系统的等级保护级别从1.0的第二级调整到了第三级(根据GA/T1389)。

(3)定级流程的变化。

等保2.0标准不再自主定级,二级及以上系统定级必须经过专家评审和主管部门审核,才能到公安机关备案,整体定级更加严格。

(4)测评合格要求提高

相较于等保1.0,等保2.0测评达的标准发生了变化,2.0中测评结论分为:优(90分及以上)、良(80分及以上)、中(70分及以上)、差(低于70分),70分以上才算基本符合要求,基本分调高了,测评要求更加严格。

等保2.0只是开始

根据网络安全法及等级保护相关要求,企业或单位应该按照网络安全法要求严格落实等级保护制度、履行网络安全责任、加强网络安全防护、不断提高网络抗攻击能力,因此还应定期开展网络的等级测评、风险评估、渗透测试、安全培训、安全运维、重要时期的安全保障、日常的应急响应和安全通报等工作。通过这些工作夯实网络安全工作的各个层面,提高安全水平和防御能力,保障企业或单位的网络系统稳定运行。

综上所述,等保2.0的到来,将会对企业的信息安全产生更加严格的要求。让企业更重视自身的信息安全建设,对广大信息安全从业者来说,也是一大福音。