《信息安全技术网络安全等级保护基本要求》解读
2020/3/19 22:05:00   中国安防行业网      关键字:信息安全技术,网络安全,等级保护      浏览量:
5月10日,《信息安全技术网络安全等级保护基本要求》正式发布,在标准名称、保护对象、章节结构、控制措施等部分进行了修改和更新,标志着我国网络安全等级保护工作正式进入"2.0时代"。
  2019年5月10日,《信息安全技术网络安全等级保护基本要求》正式发布,在标准名称、保护对象、章节结构、控制措施等部分进行了修改和更新,标志着我国网络安全等级保护工作正式进入“2.0时代”。
  为了适用于新型网络系统的安全保护要求,《信息安全技术信息系统安全等级保护基本要求》改名为《信息安全技术网络安全等级保护基本要求》,同时将基础信息网络(广电网、电信网等)、信息系统(采用传统技术的系统)、云计算平台、大数据平台、移动互联、物联网和工业控制系统等作为等级保护对象(网络和信息系统),在原有通用安全要求的基础上新增了安全扩展要求。安全扩展要求主要针对云计算、移动互联、物联网和工业控制系统提出了特殊安全要求,进一步完善了信息安全保护工作的标准。
  等级保护工作的落实有效提升了我国的网络安全防护能力。等保2.0的发布,是对除传统信息系统之外的新型网络系统安全防护能力提升的有效补充,是贯彻落实《中华人民共和国网络安全法》、实现国家网络安全战略目标的基础。未来,新华三将进一步贯彻网络安全等级保护工作精神,以丰富的经验积累为后盾,以先进的安全技术及强大的专家队伍为手段,更高效、更合理地协助各行各业用户的等级保护建设工作,从点到面,为我国网络安全建设工作做出更大贡献。
  相较于等保1.0,等保2.0发生了以下主要变化:
  第一,名称变化。等保2.0将原来的标准《信息安全技术信息系统安全等级保护基本要求》改为《信息安全技术网络安全等级保护基本要求》,与《网络安全法》保持一致。
  第二,定级对象变化。等保1.0的定级对象是信息系统,现在2.0更为广泛,包含:信息系统、基础信息网络、云计算平台、大数据平台、物联网系统、工业控制系统、采用移动互联技术的网络等。
  第三,安全要求变化。基本要求的内容,由安全要求变革为安全通用要求与安全扩展要求(含云计算、移动互联、物联网、工业控制)。
  针对移动互联、云计算、大数据、物联网和工业控制等新技术、新应用领域的个性安全保护需求提出安全扩展要求,形成新的网络安全等级保护基本要求标准。调整各个级别的安全要求为安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求和工业控制系统安全扩展要求。
  第四,控制措施分类结构变化。等保2.0依旧保留技术和管理两个维度。等保2.0由旧标准的10个分类调整为8个分类,分别为:
  技术部分:物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全;
  管理部分:安全策略和管理制度、安全管理机构和人员、安全建设管理、安全运维管理。
  第五,标准控制点和要求项的变化
  等保2.0在控制点要求上并没有明显增加,通过合并整合后相对旧标准略有缩减。
  控制点变化对比表
  要求项变化对比表
  第六,内容变化。从等保1.0的定级、备案、建设整改、等级测评和监督检查五个规定动作,变更为五个规定动作+新的安全要求(风险评估、安全监测、通报预警、态势感知等)。
  等保2.0将进一步提升关键信息基础设施安全。根据谁主管谁负责、谁运营谁负责、谁使用谁负责的原则,网络运营者成为等级保护的责任主体,如何快速高效地通过等级保护测评成为企业开展业务前必须思考的问题。
  等保2.0的发布,是对除传统信息系统之外的新型网络系统安全防护能力提升的有效补充,是贯彻落实《中华人民共和国网络安全法》、实现国家网络安全战略目标的基础。未来,效率源将进一步贯彻网络安全等级保护工作精神,加强大数据、人工智能、物联网设备等方向的取证技术、产品、解决方案合规化研发,以先进的电子数据取证技术为手段,更高效、更合理地协助行业用户的等级保护建设工作,从点到面,为我国网络安全建设工作贡献力量。