《信息安全等级保护管理办法》作为我国网络安全建设的重要指导依据,规避法律风险:《中华人民共和国网络安全法》落地以后,等级保护工作已经上升到法律层面,网络运营者不开展等级保护工作可能违法并追究网络运营者及主管人员的法律责任。从首次被提出至今,等级保护制度体系是目前我国唯一成体系化的信息安全政策和标准,通过开展等级保护工作,能够提升信息安全保障能力,保障信息系统安全稳定运行逐步筑起了国家网络和信息安全的重要防线。网络安全等级保护制度是我国网络安全领域的基本国策、基本制度和基本方法。
原因其实很简单,第一符合国家法律法规,第二同时完成企业单位自身的安全建设。
《中华人民共和国计算机信息系统安全保护条例》(中办发【1994】147号)第一次提出了“计算机系统分等级保护”的概念。核心是对信息系统特别是对业务应用系统安全分等级、按标准进行建设、管理和监管。不仅对企业自身来说十分重要,往大了说甚至还关系着国家安全。
概念:对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
网络安全等级保护1.0是什么?
等保1.0发布距今已经有10多年的时间,在这些日子里,网络安全也越来越被人们所重视。
在网络安全等级保护1.0的初期,企业要是有安全意识,能逐渐做等保,逐渐专业测评就早已很很好了;到了中期,整体防护,渗透测试,合规逐渐等于安全防护。行业等级保护全面开展,等保逐渐逐渐的立于不败之地;再到1.0的末期,不管是企业维度还是国家维度,都更注重实质性的安全防护。主动防御、态势感知、攻防对抗等安全防护手段逐渐流行,云安、大数据、工控安全和移动安全逐渐占领主要趋势。
等保1.0普及了等保概念,强化了安全意识,从单个系统到部门、到行业,再到上升到国家层面从合规到攻防对抗,整体提升了网络安全保障能力技术并且不断进行人才的积累,这些都对等保2.0提供了有力的支撑。
在1.0的初期,企业要是有安全意识,能逐渐做等保,逐渐专业测评就早已很很好了;到了中期,整体防护,渗透测试,合规逐渐等于安全防护。行业等级保护全面开展,等保逐渐逐渐的立于不败之地;再到1.0的末期,不管是企业维度还是国家维度,都更注重实质性的安全防护。主动防御、态势感知、攻防对抗等安全防护手段逐渐流行,云安、大数据、工控安全和移动安全逐渐占领主要趋势。
网络安全等级保护2.0是什么?
在1.0的初期,企业要是有安全意识,能逐渐做等保,逐渐专业测评就早已很很好了;到了中期,整体防护,渗透测试,合规逐渐等于安全防护。行业等级保护全面开展,等保逐渐逐渐的立于不败之地;再到1.0的末期,不管是企业维度还是国家维度,都更注重实质性的安全防护。主动防御、态势感知、攻防对抗等安全防护手段逐渐流行,云安、大数据、工控安全和移动安全逐渐占领主要趋势。
2.0全称网络安全等级保护2.0制度,是我国网络安全领域的基本国策、基本制度。等级保护标准在1.0时代标准的基础上,注重主动防御,从被动防御到事前、事中、事后全流程的安全可信、动态感知和全面审计,实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联网和工业控制信息系统等级保护对象的全覆盖。
网络安全等级保护2.0相比1.0有哪些不变?
1.五个级别不变
从第一级到第五级依次是:用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级。
2.规定动作不变规定动作分别为:定级、备案、建设整改、等级测评、监督检查。
3.主体职责不变等级保护的主体职责为:网安对定级对象的备案受理及监督检查职责、第三方测评机构对定级对象的安全评估职责、上级主管单位对所属单位的安全管理职责、运营使用单位对定级对象的等级保护职责。
网络安全等级保护2.0相比1.0有哪些变化?
近年来,随着信息技术的发展和网络安全形势的变化,等保1.0要求已无法有效应对新的安全风险和新技术应用所带来的新威胁,等保1.0被动防御为主的防御无法满足当前发展要求,因此急需建立一套主动防御体系。等保2.0适时而出,从法律法规、标准要求、安全体系、实施环节等方面都有了变化。
1.标准依据的变化从条例法规提升到法律层面。等保1.0的最高国家政策是国务院147号令,而等保2.0标准的最高国家政策是网络安全法,其中《中华人民共和国网络安全法》第二十一条要求,国家实施网络安全等级保护制度;第二十五条要求,网络运营者应当制定网络安全事件应急预案;第三十一条则要求,关键基础设施,在网络安全等级保护制度的基础上,实行重点保护;第五十九条规定的网络安全保护义务的,由有关主管部门给予处罚。因此不开展等级保护等于违法。
2.标准要求变化等级2.0在1.0基本上进行了优化,同时对云计算、物联网、移动互联网、工业控制、大数据新技术提出了新的安全扩展要求。在使用新技术的信息系统需要同时满足“通用要求+扩展要求”。且针对新的安全形势提出了新的安全要求,标准覆盖度更加全面,安全防护能力有很大提升。
通用要求方面,等保2.0标准的核心是优化。删除了过时的测评项,对测评项进行合理改写,新增对新型网络攻击行为防护和个人信息保护等新要求,调整了标准结构、将安全管理中心从管理层面提升至技术层面。
扩展要求扩展了云计算、物联网、移动互联网、工业控制、大数据。
3.安全体系变化等保2.0相关标准依然采用“一个中心、三重防护”的理念,从等保1.0被动防御的安全体系向事前防御、事中相应、事后审计的动态保障体系转变。建立安全技术体系和安全管理体系,构建具备相应等级安全保护能力的网络安全综合防御体系,开展组织管理、机制建设、安全规划、通报预警、应急处置、态势感知、能力建设、监督检查、技术检测、队伍建设、教育培训和经费保障等工作。
4.等级规定动作保护定级、备案、建设整改、等级测评、监督检查的实施过程中,等保2.0进行了优化和调整。
(1)定级对象的变化。
等保1.0定级的对象是信息系统,等保2.0的定级对象扩展至基础信息网络、工业控制系统、云计算平台、物联网、使用移动互联技术的网络、其他网络以及大数据等多个系统平台,覆盖面更广。
(2)定级级别的变化。
公民、法人和其他组织的合法权益产生特别严重损害时,相应系统的等级保护级别从1.0的第二级调整到了第三级(根据GA/T1389)。
(3)定级流程的变化。
等保2.0标准不再自主定级,二级及以上系统定级必须经过专家评审和主管部门审核,才能到公安机关备案,整体定级更加严格。
(4)测评合格要求提高相较于等保1.0,等保2.0测评的标准发生了变化,2.0中测评结论分为:优(90分及以上)、良(80分及以上)、中(70分及以上)、差(低于70分),70分以上才算基本符合要求,基本分调高了,测评要求更加严格。
等保2.0的实施对企业有什么影响?
根据谁主管谁负责、谁运营谁负责、谁使用谁负责的原则,网络运营者成为等级保护的责任主体,如何快速高效地通过等级保护测评成为企业开展业务前必须思考的问题。
等保2.0有5个运行步骤:定级、备案、建设和整改、等级测评、检查。同时,也分5个等级,即信息系统按重要程度由低到高分为5个等级,并分别实施不同的保护策略。
相关处罚措施有:
《网络安全法》第五十九条规定:
网络运营者不履行义务的:由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
关键信息基础设施的运营者不履行义务的:由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
划重点:用户单位不做等级保护测评,用户单位需要被罚款1万-100万;主管人员需要被罚款5000-100000。
收藏
400-668-6638
取消收藏