網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0標(biāo)準(zhǔn)是什么
2007年,《信息安全等級(jí)保護(hù)管理辦法》(公通字[2007]43號(hào))文件的正式發(fā)布,標(biāo)志著等級(jí)保護(hù)1.0的正式啟動(dòng)。等級(jí)保護(hù)1.0規(guī)定了等級(jí)保護(hù)需要完成的“規(guī)定動(dòng)作”,即定級(jí)備案、建設(shè)整改、等級(jí)測(cè)評(píng)和監(jiān)督檢查,為了指導(dǎo)用戶完成等級(jí)保護(hù)的“規(guī)定動(dòng)作”,在2008年至2012年期間陸續(xù)發(fā)布了等級(jí)保護(hù)的一些主要標(biāo)準(zhǔn),構(gòu)成等級(jí)保護(hù)1.0的標(biāo)準(zhǔn)體系。
等級(jí)保護(hù)1.0時(shí)期的主要標(biāo)準(zhǔn)如下:
信息安全等級(jí)保護(hù)管理辦法(43號(hào)文件)(上位文件)
計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 GB17859-1999(上位標(biāo)準(zhǔn))
信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南 GB/T25058-2008
信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南 GB/T22240-2008
信息系統(tǒng)安全等級(jí)保護(hù)基本要求 GB/T22239-2008
信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)要求 GB/T25070-2010
信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求 GB/T28448-2012
信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南 GB/T28449-2012
等級(jí)保護(hù)2.0標(biāo)準(zhǔn)體系
2017年,《中華人民共和國(guó)網(wǎng)絡(luò)安全法》的正式實(shí)施,標(biāo)志著等級(jí)保護(hù)2.0的正式啟動(dòng)。網(wǎng)絡(luò)安全法明確“國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度?!保ǖ?1條)、“國(guó)家對(duì)一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能嚴(yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施,在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上,實(shí)行重點(diǎn)保護(hù)。”(第31條)。上述要求為網(wǎng)絡(luò)安全等級(jí)保護(hù)賦予了新的含義,重新調(diào)整和修訂等級(jí)保護(hù)1.0標(biāo)準(zhǔn)體系,配合網(wǎng)絡(luò)安全法的實(shí)施和落地,指導(dǎo)用戶按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的新要求,履行網(wǎng)絡(luò)安全保護(hù)義務(wù)的意義重大。
隨著信息技術(shù)的發(fā)展,等級(jí)保護(hù)對(duì)象已經(jīng)從狹義的信息系統(tǒng),擴(kuò)展到網(wǎng)絡(luò)基礎(chǔ)設(shè)施、云計(jì)算平臺(tái)/系統(tǒng)、大數(shù)據(jù)平臺(tái)/系統(tǒng)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)、采用移動(dòng)互聯(lián)技術(shù)的系統(tǒng)等,基于新技術(shù)和新手段提出新的分等級(jí)的技術(shù)防護(hù)機(jī)制和完善的管理手段是等級(jí)保護(hù)2.0標(biāo)準(zhǔn)必須考慮的內(nèi)容。關(guān)鍵信息基礎(chǔ)設(shè)施在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上,實(shí)行重點(diǎn)保護(hù),基于等級(jí)保護(hù)提出的分等級(jí)的防護(hù)機(jī)制和管理手段提出關(guān)鍵信息基礎(chǔ)設(shè)施的加強(qiáng)保護(hù)措施,確保等級(jí)保護(hù)標(biāo)準(zhǔn)和關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)標(biāo)準(zhǔn)的順利銜接也是等級(jí)保護(hù)2.0標(biāo)準(zhǔn)體系需要考慮的內(nèi)容。
等級(jí)保護(hù)2.0標(biāo)準(zhǔn)體系主要標(biāo)準(zhǔn)如下:
網(wǎng)絡(luò)安全等級(jí)保護(hù)條例(總要求/上位文件)
計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則(GB 17859-1999)
(上位標(biāo)準(zhǔn))
網(wǎng)絡(luò)安全等級(jí)保護(hù)實(shí)施指南(GB/T25058-2020)
網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南(GB/T22240-2020)
網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求(GB/T22239-2019)
網(wǎng)絡(luò)安全等級(jí)保護(hù)設(shè)計(jì)技術(shù)要求(GB/T25070-2019)
網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求(GB/T28448-2019)
網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南(GB/T28449-2018)
>>>關(guān)鍵信息基礎(chǔ)設(shè)施標(biāo)準(zhǔn)體系框架如下:
關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)條例(征求意見(jiàn)稿)(總要求/上位文件)
關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求(征求意見(jiàn)稿)
關(guān)鍵信息基礎(chǔ)設(shè)施安全控制要求(征求意見(jiàn)稿)
關(guān)鍵信息基礎(chǔ)設(shè)施安全控制評(píng)估方法(征求意見(jiàn)稿)
1、什么是等保2.0?
等保,即信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)要求,是我國(guó)信息安全保障的一項(xiàng)基本制度,國(guó)家通過(guò)制定統(tǒng)一的信息安全等級(jí)保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn),組織公民、法人和其他組織對(duì)信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù)。
等保2.0:《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第二十一條明確規(guī)定:“國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度?!睘榱素瀼芈鋵?shí)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》,適應(yīng)云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制和大數(shù)據(jù)等新技術(shù)、新應(yīng)用情況下網(wǎng)絡(luò)安全等級(jí)保護(hù)工作,2019年5月正式發(fā)布《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》,正式開(kāi)啟了等保2.0的時(shí)代。一般認(rèn)為等保2.0是指《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》及其配套標(biāo)準(zhǔn)。
2、等保2.0的變化
標(biāo)準(zhǔn)的名稱由“信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求”變更為“信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求”。
調(diào)整分類為安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理中心、安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理、安全運(yùn)維管理。
調(diào)整各個(gè)級(jí)別的安全要求為安全通用要求、云計(jì)算安全擴(kuò)展要求、移動(dòng)互聯(lián)安全擴(kuò)展要求、物聯(lián)網(wǎng)安全擴(kuò)展要求和工業(yè)控制系統(tǒng)安全擴(kuò)展要求。
取消了原來(lái)安全控制點(diǎn)的S、A、G標(biāo)注,增加一個(gè)附錄A描述等級(jí)保護(hù)對(duì)象的定級(jí)結(jié)果和安全要求之間的關(guān)系,說(shuō)明如何根據(jù)定級(jí)結(jié)果選擇安全要求。
3、等保的對(duì)象
由計(jì)算機(jī)或者其他信息終端及相關(guān)設(shè)備組成的按照一定的規(guī)則和程序?qū)π畔⑦M(jìn)行收集、存儲(chǔ)、傳輸、交換、處理的系統(tǒng),被稱為等級(jí)保護(hù)的對(duì)象,這些系統(tǒng)都要遵守等保2.0的相關(guān)標(biāo)準(zhǔn)。
等級(jí)保護(hù)對(duì)象,主要包括基礎(chǔ)信息網(wǎng)絡(luò)、云計(jì)算平臺(tái)/系統(tǒng)、大數(shù)據(jù)應(yīng)用/平臺(tái)/資源、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)和采用移動(dòng)互聯(lián)技術(shù)的系統(tǒng)等。
4、誰(shuí)要遵守等級(jí)保護(hù)2.0標(biāo)準(zhǔn)
根據(jù)“誰(shuí)主管、誰(shuí)運(yùn)營(yíng),誰(shuí)負(fù)責(zé)”的原則,網(wǎng)絡(luò)運(yùn)營(yíng)者成為等級(jí)保護(hù)的責(zé)任主體。
企業(yè)需要對(duì)其建設(shè)、掌管、運(yùn)營(yíng)的各類系統(tǒng)的等保負(fù)責(zé)。
Q:我單位有對(duì)外門戶網(wǎng)站,該門戶網(wǎng)站部署于從云服務(wù)商處租賃的虛擬云服務(wù)器之上,云服務(wù)商對(duì)其云服務(wù)器已經(jīng)完成等保定級(jí)及測(cè)評(píng)等,那我單位是否還需要進(jìn)行等保等工作?
A:是需要的,云服務(wù)所在的數(shù)據(jù)中心的業(yè)務(wù)系統(tǒng)由云服務(wù)商運(yùn)營(yíng),云服務(wù)商須負(fù)責(zé)其建設(shè)、運(yùn)營(yíng)系統(tǒng)的等保工作,而對(duì)外門戶網(wǎng)站是貴單位建設(shè)、運(yùn)營(yíng)的,仍需按規(guī)定進(jìn)行等保工作。云服務(wù)商可以配合客戶開(kāi)展等級(jí)測(cè)評(píng)工作,提供云服務(wù)商側(cè)的等級(jí)保護(hù)測(cè)評(píng)材料。
5、等保2.0中的安全通用要求和擴(kuò)展要求都應(yīng)適用嗎?
安全通用要求針對(duì)共性化保護(hù)需求提出,等級(jí)保護(hù)對(duì)象無(wú)論以何種形式出現(xiàn),必須根據(jù)安全保護(hù)等級(jí)實(shí)現(xiàn)相應(yīng)級(jí)別的安全通用要求;安全擴(kuò)展要求針對(duì)個(gè)性化保護(hù)需求提出,需要根據(jù)安全保護(hù)等級(jí)和使用的特定技術(shù)或特定的應(yīng)用場(chǎng)景選擇性實(shí)現(xiàn)安全擴(kuò)展要求。
標(biāo)準(zhǔn)針對(duì)云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)提出了安全擴(kuò)展要求,除應(yīng)符合安全通用要求外,還應(yīng)符合對(duì)應(yīng)的安全擴(kuò)展要求。
對(duì)于采用其他特殊技術(shù)或處于特殊應(yīng)用場(chǎng)景的等級(jí)保護(hù)對(duì)象,應(yīng)在安全風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上,針對(duì)安全風(fēng)險(xiǎn)采取特殊的安全措施作為補(bǔ)充。
6、如何做等級(jí)保護(hù)工作?
等保2.0一般有如下5個(gè)步驟,定級(jí)、備案、建設(shè)和整改、等級(jí)測(cè)評(píng)和檢查。
定級(jí),為等級(jí)保護(hù)對(duì)象定級(jí),按照信息的重要程度由低到高分為5個(gè)等級(jí),1級(jí)為最低、5級(jí)為最高級(jí)別。如果定了1級(jí),不需要做等級(jí)測(cè)評(píng),自助進(jìn)行保護(hù)即可;網(wǎng)絡(luò)運(yùn)營(yíng)者通過(guò)自主+專家評(píng)審+主管部門環(huán)節(jié)定級(jí)。
備案,網(wǎng)絡(luò)運(yùn)營(yíng)者需要去運(yùn)營(yíng)地區(qū)的網(wǎng)安部門辦理備案手續(xù)。等級(jí)測(cè)評(píng):測(cè)試師對(duì)信息系統(tǒng)進(jìn)行安全測(cè)評(píng),測(cè)評(píng)通過(guò)后出具《等級(jí)保護(hù)測(cè)試報(bào)告》。
7、企業(yè)不做等保的相關(guān)處罰
除非另有規(guī)定,企業(yè)應(yīng)當(dāng)執(zhí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)的相關(guān)工作。根據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》相關(guān)規(guī)定,如不履行網(wǎng)絡(luò)安全等級(jí)保護(hù)的要求,主管機(jī)關(guān)將給予警告,對(duì)單位處以一萬(wàn)以上十萬(wàn)以下罰款,以及直接負(fù)責(zé)的主管人員五千元以上五萬(wàn)元以下的罰款。
《中華人民共和國(guó)網(wǎng)絡(luò)安全法》
第二十一條國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。
第五十九條網(wǎng)絡(luò)運(yùn)營(yíng)者不履行本法第二十一條、第二十五條規(guī)定的網(wǎng)絡(luò)安全保護(hù)義務(wù)的,由有關(guān)主管部門責(zé)令改正,給予警告;拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的,處一萬(wàn)元以上十萬(wàn)元以下罰款,對(duì)直接負(fù)責(zé)的主管人員處五千元以上五萬(wàn)元以下罰款。
8、大數(shù)據(jù)的平臺(tái)和系統(tǒng)也需要符合等保2.0的標(biāo)準(zhǔn)嗎?
標(biāo)準(zhǔn)中將采用了大數(shù)據(jù)技術(shù)的信息系統(tǒng),稱為大數(shù)據(jù)系統(tǒng)。大數(shù)據(jù)系統(tǒng)通常由大數(shù)據(jù)平臺(tái)、大數(shù)據(jù)應(yīng)用以及處理的數(shù)據(jù)集合構(gòu)成,大數(shù)據(jù)系統(tǒng)的特征是數(shù)據(jù)體量大、種類多、聚合快、價(jià)值高,受到破壞、泄露或篡改會(huì)對(duì)國(guó)家安全、社會(huì)秩序或公共利益造成影響,大數(shù)據(jù)安全涉及大數(shù)據(jù)平臺(tái)的安全和大數(shù)據(jù)應(yīng)用的安全。
大數(shù)據(jù)平臺(tái)是為大數(shù)據(jù)應(yīng)用提供資源和服務(wù)的支撐集成環(huán)境,包括基礎(chǔ)設(shè)施層、數(shù)據(jù)平臺(tái)層和計(jì)算分析層。大數(shù)據(jù)應(yīng)用是基于大數(shù)據(jù)平臺(tái)對(duì)數(shù)據(jù)的處理過(guò)程,通常包括數(shù)據(jù)采集、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)應(yīng)用、數(shù)據(jù)交換和數(shù)據(jù)銷毀等環(huán)節(jié),上述各個(gè)環(huán)節(jié)均需要對(duì)數(shù)據(jù)進(jìn)行保護(hù),大數(shù)據(jù)系統(tǒng)除按照等保2.0的標(biāo)準(zhǔn)要求進(jìn)行保護(hù)外,還需要考慮其特點(diǎn),參照標(biāo)準(zhǔn)附錄補(bǔ)充和完善安全控制措施。
9、等保2.0和關(guān)鍵基礎(chǔ)設(shè)施的保護(hù)是什么關(guān)系?
關(guān)鍵基礎(chǔ)設(shè)施,是指公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域,以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能嚴(yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施。
國(guó)家在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上,實(shí)行重點(diǎn)保護(hù)。關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍和安全保護(hù)辦法由國(guó)務(wù)院制定。
即如果您的業(yè)務(wù)系統(tǒng)屬于關(guān)鍵基礎(chǔ)設(shè)施,除需符合等級(jí)保護(hù)的要求外,還應(yīng)按照關(guān)鍵基礎(chǔ)設(shè)備的具體安全保護(hù)辦法來(lái)保護(hù)。
聲明:免責(zé)聲明:本文內(nèi)容由互聯(lián)網(wǎng)用戶自發(fā)貢獻(xiàn)自行上傳,本網(wǎng)站不擁有所有權(quán),也不承認(rèn)相關(guān)法律責(zé)任。如果您發(fā)現(xiàn)本社區(qū)中有涉嫌抄襲的內(nèi)容,請(qǐng)發(fā)
送郵件至:operations@xinnet.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),本站將立刻刪除涉嫌侵權(quán)內(nèi)容。本站原創(chuàng)內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)
需注明出處:新網(wǎng)idc知識(shí)百科