網(wǎng)絡(luò)安全等級保護2.0標(biāo)準(zhǔn)是什么
2007年,《信息安全等級保護管理辦法》(公通字[2007]43號)文件的正式發(fā)布,標(biāo)志著等級保護1.0的正式啟動。等級保護1.0規(guī)定了等級保護需要完成的“規(guī)定動作”,即定級備案、建設(shè)整改、等級測評和監(jiān)督檢查,為了指導(dǎo)用戶完成等級保護的“規(guī)定動作”,在2008年至2012年期間陸續(xù)發(fā)布了等級保護的一些主要標(biāo)準(zhǔn),構(gòu)成等級保護1.0的標(biāo)準(zhǔn)體系。
等級保護1.0時期的主要標(biāo)準(zhǔn)如下:
信息安全等級保護管理辦法(43號文件)(上位文件)
計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則 GB17859-1999(上位標(biāo)準(zhǔn))
信息系統(tǒng)安全等級保護實施指南 GB/T25058-2008
信息系統(tǒng)安全保護等級定級指南 GB/T22240-2008
信息系統(tǒng)安全等級保護基本要求 GB/T22239-2008
信息系統(tǒng)等級保護安全設(shè)計要求 GB/T25070-2010
信息系統(tǒng)安全等級保護測評要求 GB/T28448-2012
信息系統(tǒng)安全等級保護測評過程指南 GB/T28449-2012
等級保護2.0標(biāo)準(zhǔn)體系
2017年,《中華人民共和國網(wǎng)絡(luò)安全法》的正式實施,標(biāo)志著等級保護2.0的正式啟動。網(wǎng)絡(luò)安全法明確“國家實行網(wǎng)絡(luò)安全等級保護制度?!保ǖ?1條)、“國家對一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能嚴(yán)重危害國家安全、國計民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施,在網(wǎng)絡(luò)安全等級保護制度的基礎(chǔ)上,實行重點保護?!保ǖ?1條)。上述要求為網(wǎng)絡(luò)安全等級保護賦予了新的含義,重新調(diào)整和修訂等級保護1.0標(biāo)準(zhǔn)體系,配合網(wǎng)絡(luò)安全法的實施和落地,指導(dǎo)用戶按照網(wǎng)絡(luò)安全等級保護制度的新要求,履行網(wǎng)絡(luò)安全保護義務(wù)的意義重大。
隨著信息技術(shù)的發(fā)展,等級保護對象已經(jīng)從狹義的信息系統(tǒng),擴展到網(wǎng)絡(luò)基礎(chǔ)設(shè)施、云計算平臺/系統(tǒng)、大數(shù)據(jù)平臺/系統(tǒng)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)、采用移動互聯(lián)技術(shù)的系統(tǒng)等,基于新技術(shù)和新手段提出新的分等級的技術(shù)防護機制和完善的管理手段是等級保護2.0標(biāo)準(zhǔn)必須考慮的內(nèi)容。關(guān)鍵信息基礎(chǔ)設(shè)施在網(wǎng)絡(luò)安全等級保護制度的基礎(chǔ)上,實行重點保護,基于等級保護提出的分等級的防護機制和管理手段提出關(guān)鍵信息基礎(chǔ)設(shè)施的加強保護措施,確保等級保護標(biāo)準(zhǔn)和關(guān)鍵信息基礎(chǔ)設(shè)施保護標(biāo)準(zhǔn)的順利銜接也是等級保護2.0標(biāo)準(zhǔn)體系需要考慮的內(nèi)容。
等級保護2.0標(biāo)準(zhǔn)體系主要標(biāo)準(zhǔn)如下:
網(wǎng)絡(luò)安全等級保護條例(總要求/上位文件)
計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則(GB 17859-1999)
(上位標(biāo)準(zhǔn))
網(wǎng)絡(luò)安全等級保護實施指南(GB/T25058-2020)
網(wǎng)絡(luò)安全等級保護定級指南(GB/T22240-2020)
網(wǎng)絡(luò)安全等級保護基本要求(GB/T22239-2019)
網(wǎng)絡(luò)安全等級保護設(shè)計技術(shù)要求(GB/T25070-2019)
網(wǎng)絡(luò)安全等級保護測評要求(GB/T28448-2019)
網(wǎng)絡(luò)安全等級保護測評過程指南(GB/T28449-2018)
>>>關(guān)鍵信息基礎(chǔ)設(shè)施標(biāo)準(zhǔn)體系框架如下:
關(guān)鍵信息基礎(chǔ)設(shè)施保護條例(征求意見稿)(總要求/上位文件)
關(guān)鍵信息基礎(chǔ)設(shè)施安全保護要求(征求意見稿)
關(guān)鍵信息基礎(chǔ)設(shè)施安全控制要求(征求意見稿)
關(guān)鍵信息基礎(chǔ)設(shè)施安全控制評估方法(征求意見稿)
1、什么是等保2.0?
等保,即信息安全技術(shù)網(wǎng)絡(luò)安全等級保護要求,是我國信息安全保障的一項基本制度,國家通過制定統(tǒng)一的信息安全等級保護管理規(guī)范和技術(shù)標(biāo)準(zhǔn),組織公民、法人和其他組織對信息系統(tǒng)分等級實行安全保護。
等保2.0:《中華人民共和國網(wǎng)絡(luò)安全法》第二十一條明確規(guī)定:“國家實行網(wǎng)絡(luò)安全等級保護制度?!睘榱素瀼芈鋵崱吨腥A人民共和國網(wǎng)絡(luò)安全法》,適應(yīng)云計算、移動互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制和大數(shù)據(jù)等新技術(shù)、新應(yīng)用情況下網(wǎng)絡(luò)安全等級保護工作,2019年5月正式發(fā)布《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》,正式開啟了等保2.0的時代。一般認(rèn)為等保2.0是指《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》及其配套標(biāo)準(zhǔn)。
2、等保2.0的變化
標(biāo)準(zhǔn)的名稱由“信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求”變更為“信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求”。
調(diào)整分類為安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心、安全管理制度、安全管理機構(gòu)、安全管理人員、安全建設(shè)管理、安全運維管理。
調(diào)整各個級別的安全要求為安全通用要求、云計算安全擴展要求、移動互聯(lián)安全擴展要求、物聯(lián)網(wǎng)安全擴展要求和工業(yè)控制系統(tǒng)安全擴展要求。
取消了原來安全控制點的S、A、G標(biāo)注,增加一個附錄A描述等級保護對象的定級結(jié)果和安全要求之間的關(guān)系,說明如何根據(jù)定級結(jié)果選擇安全要求。
3、等保的對象
由計算機或者其他信息終端及相關(guān)設(shè)備組成的按照一定的規(guī)則和程序?qū)π畔⑦M行收集、存儲、傳輸、交換、處理的系統(tǒng),被稱為等級保護的對象,這些系統(tǒng)都要遵守等保2.0的相關(guān)標(biāo)準(zhǔn)。
等級保護對象,主要包括基礎(chǔ)信息網(wǎng)絡(luò)、云計算平臺/系統(tǒng)、大數(shù)據(jù)應(yīng)用/平臺/資源、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)和采用移動互聯(lián)技術(shù)的系統(tǒng)等。
4、誰要遵守等級保護2.0標(biāo)準(zhǔn)
根據(jù)“誰主管、誰運營,誰負責(zé)”的原則,網(wǎng)絡(luò)運營者成為等級保護的責(zé)任主體。
企業(yè)需要對其建設(shè)、掌管、運營的各類系統(tǒng)的等保負責(zé)。
Q:我單位有對外門戶網(wǎng)站,該門戶網(wǎng)站部署于從云服務(wù)商處租賃的虛擬云服務(wù)器之上,云服務(wù)商對其云服務(wù)器已經(jīng)完成等保定級及測評等,那我單位是否還需要進行等保等工作?
A:是需要的,云服務(wù)所在的數(shù)據(jù)中心的業(yè)務(wù)系統(tǒng)由云服務(wù)商運營,云服務(wù)商須負責(zé)其建設(shè)、運營系統(tǒng)的等保工作,而對外門戶網(wǎng)站是貴單位建設(shè)、運營的,仍需按規(guī)定進行等保工作。云服務(wù)商可以配合客戶開展等級測評工作,提供云服務(wù)商側(cè)的等級保護測評材料。
5、等保2.0中的安全通用要求和擴展要求都應(yīng)適用嗎?
安全通用要求針對共性化保護需求提出,等級保護對象無論以何種形式出現(xiàn),必須根據(jù)安全保護等級實現(xiàn)相應(yīng)級別的安全通用要求;安全擴展要求針對個性化保護需求提出,需要根據(jù)安全保護等級和使用的特定技術(shù)或特定的應(yīng)用場景選擇性實現(xiàn)安全擴展要求。
標(biāo)準(zhǔn)針對云計算、移動互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)提出了安全擴展要求,除應(yīng)符合安全通用要求外,還應(yīng)符合對應(yīng)的安全擴展要求。
對于采用其他特殊技術(shù)或處于特殊應(yīng)用場景的等級保護對象,應(yīng)在安全風(fēng)險評估的基礎(chǔ)上,針對安全風(fēng)險采取特殊的安全措施作為補充。
6、如何做等級保護工作?
等保2.0一般有如下5個步驟,定級、備案、建設(shè)和整改、等級測評和檢查。
定級,為等級保護對象定級,按照信息的重要程度由低到高分為5個等級,1級為最低、5級為最高級別。如果定了1級,不需要做等級測評,自助進行保護即可;網(wǎng)絡(luò)運營者通過自主+專家評審+主管部門環(huán)節(jié)定級。
備案,網(wǎng)絡(luò)運營者需要去運營地區(qū)的網(wǎng)安部門辦理備案手續(xù)。等級測評:測試師對信息系統(tǒng)進行安全測評,測評通過后出具《等級保護測試報告》。
7、企業(yè)不做等保的相關(guān)處罰
除非另有規(guī)定,企業(yè)應(yīng)當(dāng)執(zhí)行網(wǎng)絡(luò)安全等級保護的相關(guān)工作。根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》相關(guān)規(guī)定,如不履行網(wǎng)絡(luò)安全等級保護的要求,主管機關(guān)將給予警告,對單位處以一萬以上十萬以下罰款,以及直接負責(zé)的主管人員五千元以上五萬元以下的罰款。
《中華人民共和國網(wǎng)絡(luò)安全法》
第二十一條國家實行網(wǎng)絡(luò)安全等級保護制度。
第五十九條網(wǎng)絡(luò)運營者不履行本法第二十一條、第二十五條規(guī)定的網(wǎng)絡(luò)安全保護義務(wù)的,由有關(guān)主管部門責(zé)令改正,給予警告;拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的,處一萬元以上十萬元以下罰款,對直接負責(zé)的主管人員處五千元以上五萬元以下罰款。
8、大數(shù)據(jù)的平臺和系統(tǒng)也需要符合等保2.0的標(biāo)準(zhǔn)嗎?
標(biāo)準(zhǔn)中將采用了大數(shù)據(jù)技術(shù)的信息系統(tǒng),稱為大數(shù)據(jù)系統(tǒng)。大數(shù)據(jù)系統(tǒng)通常由大數(shù)據(jù)平臺、大數(shù)據(jù)應(yīng)用以及處理的數(shù)據(jù)集合構(gòu)成,大數(shù)據(jù)系統(tǒng)的特征是數(shù)據(jù)體量大、種類多、聚合快、價值高,受到破壞、泄露或篡改會對國家安全、社會秩序或公共利益造成影響,大數(shù)據(jù)安全涉及大數(shù)據(jù)平臺的安全和大數(shù)據(jù)應(yīng)用的安全。
大數(shù)據(jù)平臺是為大數(shù)據(jù)應(yīng)用提供資源和服務(wù)的支撐集成環(huán)境,包括基礎(chǔ)設(shè)施層、數(shù)據(jù)平臺層和計算分析層。大數(shù)據(jù)應(yīng)用是基于大數(shù)據(jù)平臺對數(shù)據(jù)的處理過程,通常包括數(shù)據(jù)采集、數(shù)據(jù)存儲、數(shù)據(jù)應(yīng)用、數(shù)據(jù)交換和數(shù)據(jù)銷毀等環(huán)節(jié),上述各個環(huán)節(jié)均需要對數(shù)據(jù)進行保護,大數(shù)據(jù)系統(tǒng)除按照等保2.0的標(biāo)準(zhǔn)要求進行保護外,還需要考慮其特點,參照標(biāo)準(zhǔn)附錄補充和完善安全控制措施。
9、等保2.0和關(guān)鍵基礎(chǔ)設(shè)施的保護是什么關(guān)系?
關(guān)鍵基礎(chǔ)設(shè)施,是指公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域,以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能嚴(yán)重危害國家安全、國計民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施。
國家在網(wǎng)絡(luò)安全等級保護制度的基礎(chǔ)上,實行重點保護。關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍和安全保護辦法由國務(wù)院制定。
即如果您的業(yè)務(wù)系統(tǒng)屬于關(guān)鍵基礎(chǔ)設(shè)施,除需符合等級保護的要求外,還應(yīng)按照關(guān)鍵基礎(chǔ)設(shè)備的具體安全保護辦法來保護。
聲明:免責(zé)聲明:本文內(nèi)容由互聯(lián)網(wǎng)用戶自發(fā)貢獻自行上傳,本網(wǎng)站不擁有所有權(quán),也不承認(rèn)相關(guān)法律責(zé)任。如果您發(fā)現(xiàn)本社區(qū)中有涉嫌抄襲的內(nèi)容,請發(fā)
送郵件至:operations@xinnet.com進行舉報,并提供相關(guān)證據(jù),一經(jīng)查實,本站將立刻刪除涉嫌侵權(quán)內(nèi)容。本站原創(chuàng)內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時
需注明出處:新網(wǎng)idc知識百科