<rt id="10tud"><optgroup id="10tud"></optgroup></rt>

<center id="10tud"><dl id="10tud"></dl></center>

<center id="10tud"></center>

<center id="10tud"><sup id="10tud"></sup></center>

<center id="10tud"></center>

<center id="10tud"><sup id="10tud"></sup></center>

安全資訊

等保2.0于12月1日正式實(shí)施等保2.0全面解讀

【時(shí)間】2019-12-01

【編輯】Admin

【瀏覽量】

【等級保護QQ交流群】881590869

【導讀】2019年5月13日，國家市場(chǎng)監督管理總局召開(kāi)新聞發(fā)布會(huì )，正式發(fā)布《信息安全技術(shù)網(wǎng)絡(luò )安全等級保護基本要求》2.0版本，等保2.0于2019年12月1日正式實(shí)施。那么，什么是等保？等保2.0相比等保1.0有哪些區別呢？針對這些問(wèn)題，小編為您進(jìn)行了一一梳理。

什么是等保？

等保，即網(wǎng)絡(luò )安全等級保護標準。2007年我國信息安全等級保護制度正式實(shí)施，通過(guò)十余年的時(shí)間的發(fā)展與實(shí)踐，成為了我國非涉密信息系統網(wǎng)絡(luò )安全建設的重要標準。

等保標準具有很強的實(shí)用性：它是監管部門(mén)合規執法檢查的依據，是我國諸多網(wǎng)絡(luò )信息安全標準制度的重要參考體系架構，是行業(yè)主管部門(mén)對于下級部門(mén)網(wǎng)絡(luò )安全建設的指引標準的重要依據和參考體系，由此標準衍生了諸多行業(yè)標準：例如人社行業(yè)等保標準、金融行業(yè)等保標準、能源行業(yè)（電力）等保標準、教育行業(yè)等保標準等行業(yè)標準?？偟膩?lái)說(shuō)，等保制度是網(wǎng)絡(luò )安全從業(yè)者開(kāi)展網(wǎng)絡(luò )安全工作的重要指導體系和制度。

什么是等保1.0？

2007年和2008年頒布實(shí)施的《信息安全等級保護管理辦法》和《信息安全等級保護基本要求》。這部法規被稱(chēng)為等保1.0。經(jīng)過(guò)10余年的實(shí)踐，等保1.0為保障我國信息安全打下了堅實(shí)的基礎。

什么是等保2.0？

等保2.0相關(guān)國家標準于2019年5月10日正式發(fā)布。2019年12月1日開(kāi)始實(shí)施。這是我國實(shí)行網(wǎng)絡(luò )安全等級保護制度過(guò)程中的一件大事，具有里程碑意義。

等保2.0相比等保1.0有哪些區別/進(jìn)步？

等保1.0主要強調物理主機、應用、數據、傳輸，而2.0版本增加了對云計算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制和大數據等新技術(shù)新應用的全覆蓋。相較于等保1.0，等保2.0發(fā)生了以下主要變化：

第一，名稱(chēng)變化。等保2.0將原來(lái)的標準《信息安全技術(shù)信息系統安全等級保護基本要求》改為《信息安全技術(shù)網(wǎng)絡(luò )安全等級保護基本要求》，與《網(wǎng)絡(luò )安全法》保持一致。

第二，定級對象變化。等保1.0的定級對象是信息系統，現在2.0更為廣泛，包含：信息系統、基礎信息網(wǎng)絡(luò )、云計算平臺、大數據平臺、物聯(lián)網(wǎng)系統、工業(yè)控制系統、采用移動(dòng)互聯(lián)技術(shù)的網(wǎng)絡(luò )等。

第三，安全要求變化。基本要求的內容，由安全要求變革為安全通用要求與安全擴展要求(含云計算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制)。

第四，控制措施分類(lèi)結構變化。等保2.0依舊保留技術(shù)和管理兩個(gè)維度。

在技術(shù)上，由物理安全、網(wǎng)絡(luò )安全、主機安全、應用安全、數據安全，變更為安全物理環(huán)境、安全通信網(wǎng)絡(luò )、安全區域邊界、安全計算環(huán)境、安全管理中心；

在管理上，結構上沒(méi)有太大的變化，從安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理，調整為安全管理制度、安全管理機構、安全管理人員、安全建設管理、安全運維管理。

第五，內容變化。從等保1.0的定級、備案、建設整改、等級測評和監督檢查五個(gè)規定動(dòng)作，變更為五個(gè)規定動(dòng)作+新的安全要求(風(fēng)險評估、安全監測、通報預警、態(tài)勢感知等)。

為什么要頒布實(shí)施等保2.0？

因為“等保1.0”不僅缺乏對一些新技術(shù)和新應用的等級保護規范，比如云計算、大數據和物聯(lián)網(wǎng)等，而且風(fēng)險評估、安全監測和通報預警等工作以及政策、標準、測評、技術(shù)和服務(wù)等體系不完善。

為適應新技術(shù)的發(fā)展，解決云計算、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)和工控領(lǐng)域信息系統的等級保護工作的需要，由公安部牽頭組織開(kāi)展了信息技術(shù)新領(lǐng)域等級保護重點(diǎn)標準申報國家標準的工作，等級保護正式進(jìn)入2.0時(shí)代。

等保2.0的發(fā)布，是對除傳統信息系統之外的新型網(wǎng)絡(luò )系統安全防護能力提升的有效補充，是貫徹落實(shí)《中華人民共和國網(wǎng)絡(luò )安全法》、實(shí)現國家網(wǎng)絡(luò )安全戰略目標的基礎。

等保2.0的實(shí)施對企業(yè)有哪些影響？

根據誰(shuí)主管誰(shuí)負責、誰(shuí)運營(yíng)誰(shuí)負責、誰(shuí)使用誰(shuí)負責的原則，網(wǎng)絡(luò )運營(yíng)者成為等級保護的責任主體，如何快速高效地通過(guò)等級保護測評成為企業(yè)開(kāi)展業(yè)務(wù)前必須思考的問(wèn)題。

等保2.0有5個(gè)運行步驟：定級、備案、建設和整改、等級測評、檢查。同時(shí)，也分5個(gè)等級，即信息系統按重要程度由低到高分為5個(gè)等級，并分別實(shí)施不同的保護策略。

一級系統簡(jiǎn)單，不需要備案，影響程度很小，因此不作為重點(diǎn)監管對象;

二級系統大概50萬(wàn)個(gè)左右;

三級系統大概5萬(wàn)個(gè);

四級系統量級較大，比如支付寶、銀行總行系統、國家電網(wǎng)系統，有1000個(gè)左右;

五級系統屬?lài)壹?、國防?lèi)的系統，比如核電站、軍用通信系統。

網(wǎng)絡(luò )安全等級保護常見(jiàn)注意事項

1、等級測評并非安全認證

很多人容易把等保測評等同于安全認證。等保測評并非相當于ISO 20000系列的信息技術(shù)服務(wù)管理認證，也并非于ISO27000系列的信息安全管理體系認證。等級保護制度是國家信息安全管理的制度，是國家意志的體現。落實(shí)等級保護制度為了國家法律法規的合規需求。

等級保護測評沒(méi)有相應的證書(shū)，如何才能證明信息系統已經(jīng)符合等級保護安全要求了呢？目前這主要是由公安部授權委托的全國一百多家測評機構，對信息系統進(jìn)行安全測評，測評通過(guò)后出具《等級保護測評報告》，拿到了符合等保安全要求的測評報告就證明該信息系統符合了等級保護的安全要求。

2、等保制度只是基本要求

等保制度只是基線(xiàn)的要求，通過(guò)測評、整改，落實(shí)等級保護制度，確實(shí)可以規避大部分的安全風(fēng)險。但就目前的測評結果來(lái)看，幾乎沒(méi)有任何一個(gè)被測系統能全部滿(mǎn)足等保要求。一般情況下，目前等級保護測評過(guò)程中，只要沒(méi)發(fā)現高危安全風(fēng)險，都可以通過(guò)測評。但是，安全是一個(gè)動(dòng)態(tài)而非靜止的過(guò)程，而不是通過(guò)一次測評，就可以一勞永逸的。 企業(yè)通過(guò)落實(shí)等保安全要求，并嚴格執行各項安全管理的規章制度，基本能做到系統的安全穩定運行。但依然不能百分百保證系統的安全性。

3、內網(wǎng)系統也需要做等級測評

首先，所有非涉密系統都屬于等級保護范疇，和系統在外網(wǎng)還是內網(wǎng)沒(méi)有關(guān)系；《網(wǎng)絡(luò )安全法》規定，等級保護的對象是在中華人民共和國境內建設、運營(yíng)、維護和使用的網(wǎng)絡(luò )與信息系統。因此，不管是內網(wǎng)還是外網(wǎng)系統，都需要符合等級保護安全的要求。

其次，在內網(wǎng)的系統往往其網(wǎng)絡(luò )安全技術(shù)措施做的并不好，甚至不少系統已經(jīng)中毒不淺。2017年肆虐全球的永恒之藍勒索病毒攻擊，導致了大量?jì)染W(wǎng)系統癱瘓，這提醒我們內網(wǎng)系統的安全防護同樣不能馬虎。所以不論系統在內網(wǎng)還是外網(wǎng)都得及時(shí)開(kāi)展等保工作。

4、系統上云或者托管在其他地方就也需做等級測評

目前，比較多的小型企業(yè)客戶(hù)偏向于把系統部署在云平臺與IDC機房。這些云平臺、IDC機房一般都通過(guò)了等級測評。不過(guò)，根據“誰(shuí)運營(yíng)誰(shuí)負責，誰(shuí)使用誰(shuí)負責，誰(shuí)主管誰(shuí)負責”的原則，系統責任主體仍然還是屬于網(wǎng)絡(luò )運營(yíng)者自己，所以，還是得承擔相應的網(wǎng)絡(luò )安全責任，該進(jìn)行系統定級的還是得定級，該做等保的還是得做等保。

部署在云平臺的系統還需要購買(mǎi)云平臺的安全服務(wù)或者第三方安全服務(wù)，部署在IDC機房的系統還需要購買(mǎi)相應的安全設備以滿(mǎn)足等保安全要求。

5、不可根據自己的主觀(guān)意愿來(lái)定級

目前的等級保護對象（信息系統）的安全級別分為五個(gè)等級：1級為最低級別，5級為最高級別（5級為預留級別，市面上已定級的系統最高為4級）。如果定了1級，不需要做等級測評，自主進(jìn)行保護即可。定2級以上就需要進(jìn)行等級測評。系統級別的確定需要根據系統的重要性進(jìn)行決定。如果定高了，有可能造成投資的浪費；定低了則有可能造成重要信息系統得不到應有的保護，應該謹慎定級。

等保1.0的要求是自主定級，有主管部門(mén)的需要主管部門(mén)審核，最終報送公安機關(guān)進(jìn)行審核。等保2.0之后定級流程新增了“專(zhuān)家評審”和“主管部門(mén)審核”兩個(gè)環(huán)節，這樣定級過(guò)程將會(huì )變得更加規范，定級也會(huì )更加準確。

6、系統備案場(chǎng)所

《信息安全等級保護管理辦法》規定，等級保護的主體單位為信息系統的運營(yíng)、使用單位。備案主體一般不會(huì )是開(kāi)發(fā)商、系統集成商，而是最終的用戶(hù)方。

目前有些單位的注冊地跟運營(yíng)地不一致，正常情況下需要去運營(yíng)地區的網(wǎng)安部門(mén)辦理備案手續。比如客戶(hù)注冊地在北京海淀區，運營(yíng)部門(mén)在北京朝陽(yáng)區，需要到北京朝陽(yáng)區辦理定級備案手續，當然，前提是北京朝陽(yáng)區必須有正規辦公地址。

有些單位的系統部署在云平臺，云平臺的實(shí)際物理地址往往和云系統網(wǎng)絡(luò )運營(yíng)者不在同一地址。而且，有些單位的運維團隊和注冊經(jīng)營(yíng)地址也不一致。這種情況下，云系統應當在系統實(shí)際運維團隊所在地市網(wǎng)安部門(mén)進(jìn)行系統備案，因為這樣會(huì )方便屬地公安對系統進(jìn)行監管。

所以，大部分情況下，還是需要到系統的運維人員實(shí)際所在地進(jìn)行定級備案。當然也有一些特殊行業(yè)的要求，比如一些涉及到金融安全的行業(yè)，比如互聯(lián)網(wǎng)金融系統、支付系統需要屬地化管理，這些系統需要在注冊地辦理定級備案手續，以滿(mǎn)足本地的監管要求。

7、等保測評做完不一定需要花很多錢(qián)去整改

整改花多少錢(qián)取決于你的信息系統等級、系統現有的安全防護措施狀況以及網(wǎng)絡(luò )運營(yíng)者對測評分數的期望值，不一定要花很多錢(qián)甚至不花錢(qián)。

整改的內容大體分為：安全制度完善、安全加固等安全服務(wù)以及安全設備的添置。在安全制度及安全加固上網(wǎng)絡(luò )運營(yíng)者自己可以做很多整改工作或者委托系統集成方進(jìn)行加固，往往這是不需要額外付費的或者是包含在你和系統集成方合同約定中的，這兩塊內容整改好，加上你有一定的安全技術(shù)措施，基本上是可以達到基本符合的結論的。所以花多少錢(qián)看你怎么去做或者你的期望值是多少。

我國網(wǎng)絡(luò )和信息安全領(lǐng)域的政策演變是怎么樣的？

1994年

《中華人民共和國計算機信息系統安全保護條例》(國務(wù)院147號令)：首次提出“計算機信息系統實(shí)行安全等級保護”概念。

1999年

《計算機信息系統安全等級保護劃分準則》（GB17859）；國家發(fā)布關(guān)于計算機信息系統安全保護等級劃分準則強制性標準。

2005年

《重要信息系統災難恢復指南》（國務(wù)院信息化工作辦公室）；發(fā)布對重要信息系統災難恢復的規劃和準備工作基本要求的內容。

2007年

《信息安全等級保護管理辦法》（公通字[2007]43號）：由四部委下發(fā)，旨在加快推進(jìn)、規范管理等級保護建設工作。

2008年

《信息安全等級保護基本要求》（GB/T 22239-2008）：明確對于各等級信息系統的安全保護基本要求。

2015年

《公共安全業(yè)務(wù)連續性管理體系指南》（GB/T 31595-2015）；針對企業(yè)實(shí)施業(yè)務(wù)連續性管理體系中的方法和步驟給出了詳細的指導。

2017年

《中華人民共和國網(wǎng)絡(luò )安全法》正式發(fā)布，其中第二十一條明確：國家實(shí)行網(wǎng)絡(luò )安全等級保護制度。網(wǎng)絡(luò )運營(yíng)者應當按照網(wǎng)絡(luò )安全等級保護制度的要求，履行下列安全保護義務(wù)，保障網(wǎng)絡(luò )免受干擾、破壞或者未經(jīng)授權的訪(fǎng)問(wèn)，防止網(wǎng)絡(luò )數據泄露或者被竊取、篡改。

2019年

《信息安全技術(shù)網(wǎng)絡(luò )安全等級保護基本要求》2.0版本正式發(fā)布，等保2.0在2019年12月1日正式實(shí)施。

咨詢(xún)在線(xiàn)客服

服務(wù)熱線(xiàn)

138-6598-3726

產(chǎn)品和特性

價(jià)格和優(yōu)惠

安徽靈狐網(wǎng)絡(luò )公眾號

微信公眾號

午夜成人无码免费看网站_97国语自产拍在线_无码一区精油按摩视频_国产色婷婷五月精品综合在线

<form id="z0ixv"></form>

<rt id="z0ixv"><optgroup id="z0ixv"><button id="z0ixv"></button></optgroup></rt><center id="z0ixv"></center>

<center id="z0ixv"><strike id="z0ixv"></strike></center>

<center id="z0ixv"><sup id="z0ixv"><option id="z0ixv"></option></sup></center>

<center id="z0ixv"></center>

<rt id="z0ixv"><div id="z0ixv"><i id="z0ixv"></i></div></rt>