安全資訊

寫(xiě)在前面的話(huà)

GB/T 22239-2019《信息安全技術(shù)網(wǎng)絡(luò )安全等級保護要求》（以下簡(jiǎn)稱(chēng)“等保2.0”）已經(jīng)于2019年12月1日正式實(shí)施，對我們的安全等保工作提出了新要求，因此我們以十問(wèn)的形式解讀等保2.0，以便深入了解國家網(wǎng)絡(luò )安全等級保護的基本要求。

什么是等保2.0？

等保，即信息安全技術(shù)網(wǎng)絡(luò )安全等級保護要求，是我國信息安全保障的一項基本制度，國家通過(guò)制定統一的信息安全等級保護管理規范和技術(shù)標準，組織公民、法人和其他組織對信息系統分等級實(shí)行安全保護。

等保1.0：2007年和2008年頒布實(shí)施的 《信息安全等級保護管理辦法》和《信息安全等級保護基本要求》，這是我們通常認為的等保1.0。

等保2.0：《中華人民共和國網(wǎng)絡(luò )安全法》第二十一條明確規定：“國家實(shí)行網(wǎng)絡(luò )安全等級保護制度?！睘榱素瀼芈鋵?shí)《中華人民共和國網(wǎng)絡(luò )安全法》，適應云計算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制和大數據等新技術(shù)、新應用情況下網(wǎng)絡(luò )安全等級保護工作，2019年5月正式發(fā)布《信息安全技術(shù)網(wǎng)絡(luò )安全等級保護基本要求》，正式開(kāi)啟了等保2.0的時(shí)代。一般認為等保2.0是指《信息安全技術(shù)網(wǎng)絡(luò )安全等級保護基本要求》及其配套標準。

等保2.0和等保1.0相比有哪些變化？

《信息安全技術(shù)網(wǎng)絡(luò )安全等級保護基本要求》代替GB/T 22239—2008《信息安全技術(shù)信息系統安全等級保護基本要求》，與GB/T 22239—2008相比，主要變化如下：

標準的名稱(chēng)由“信息安全技術(shù)  信息系統安全等級保護基本要求”變更為“信息安全技術(shù)  網(wǎng)絡(luò )安全等級保護基本要求”。

調整分類(lèi)為安全物理環(huán)境、安全通信網(wǎng)絡(luò )、安全區域邊界、安全計算環(huán)境、安全管理中心、安全管理制度、安全管理機構、安全管理人員、安全建設管理、安全運維管理。

調整各個(gè)級別的安全要求為安全通用要求、云計算安全擴展要求、移動(dòng)互聯(lián)安全擴展要求、物聯(lián)網(wǎng)安全擴展要求和工業(yè)控制系統安全擴展要求。

取消了原來(lái)安全控制點(diǎn)的S、A、G標注，增加一個(gè)附錄A描述等級保護對象的定級結果和安全要求之間的關(guān)系，說(shuō)明如何根據定級結果選擇安全要求。

什么系統需要遵守等保2.0標準？

由計算機或者其他信息終端及相關(guān)設備組成的按照一定的規則和程序對信息進(jìn)行收集、存儲、傳輸、交換、處理的系統，被稱(chēng)為等級保護的對象，這些系統都要遵守等保2.0的相關(guān)標準。

等級保護對象，主要包括基礎信息網(wǎng)絡(luò )、云計算平臺/系統、大數據應用/平臺/資源、物聯(lián)網(wǎng)、工業(yè)控制系統和采用移動(dòng)互聯(lián)技術(shù)的系統等。

什么系統不適用等保2.0標準？

同時(shí)請注意，等保2.0的標準并不適用如下：

涉密對象的安全建設和監督管理，涉密對象將另行規定和管理；

第五級等級保護對象，等保2.0即《信息安全技術(shù)網(wǎng)絡(luò )安全等級保護基本要求》僅規定了網(wǎng)絡(luò )安全等級保護的第一級到第四級等級保護對象的安全通用要求和安全擴展要求。

誰(shuí)需要遵守等保2.0標準？

根據“誰(shuí)主管、誰(shuí)運營(yíng)，誰(shuí)負責”的原則，網(wǎng)絡(luò )運營(yíng)者成為等級保護的責任主體。

企業(yè)需要對其建設、掌管、運營(yíng)的各類(lèi)系統的等保負責。

Q:我單位有對外門(mén)戶(hù)網(wǎng)站，該門(mén)戶(hù)網(wǎng)站部署于從云服務(wù)商處租賃的虛擬云服務(wù)器之上，云服務(wù)商對其云服務(wù)器已經(jīng)完成等保定級及測評等，那我單位是否還需要進(jìn)行等保等工作？A:

是需要的，云服務(wù)所在的數據中心的業(yè)務(wù)系統由云服務(wù)商運營(yíng)，云服務(wù)商須負責其建設、運營(yíng)系統的等保工作，而對外門(mén)戶(hù)網(wǎng)站是貴單位建設、運營(yíng)的，仍需按規定進(jìn)行等保工作。

云服務(wù)商可以配合客戶(hù)開(kāi)展等級測評工作，提供云服務(wù)商側的等級保護測評材料。

對于等保2.0中的安全通用要求和安全擴展要求都應適用嗎？

是的，安全通用要求針對共性化保護需求提出，等級保護對象無(wú)論以何種形式出現，必須根據安全保護等級實(shí)現相應級別的安全通用要求；安全擴展要求針對個(gè)性化保護需求提出，需要根據安全保護等級和使用的特定技術(shù)或特定的應用場(chǎng)景選擇性實(shí)現安全擴展要求。

標準針對云計算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制系統提出了安全擴展要求，除應符合安全通用要求外，還應符合對應的安全擴展要求。

對于采用其他特殊技術(shù)或處于特殊應用場(chǎng)景的等級保護對象，應在安全風(fēng)險評估的基礎上，針對安全風(fēng)險采取特殊的安全措施作為補充。

如何做等級保護工作？

等保2.0一般有如下5個(gè)步驟，定級、備案、建設和整改、等級測評和檢查。

定級，為等級保護對象定級，按照信息的重要程度由低到高分為5個(gè)等級，1級為最低、5級為最高級別。如果定了1級，不需要做等級測評，自助進(jìn)行保護即可；網(wǎng)絡(luò )運營(yíng)者通過(guò)自主+專(zhuān)家評審+主管部門(mén)環(huán)節定級。

備案，網(wǎng)絡(luò )運營(yíng)者需要去運營(yíng)地區的網(wǎng)安部門(mén)辦理備案手續。等級測評，主要是有公安部授權委托的全國100多家測評機構，對信息系統進(jìn)行安全測評，測評通過(guò)后初級《等級保護測試報告》。

企業(yè)是否可以不做等級保護的相關(guān)工作？

除非另有規定，企業(yè)應當執行網(wǎng)絡(luò )安全等級保護的相關(guān)工作。根據《中華人民共和國網(wǎng)絡(luò )安全法》相關(guān)規定，如不履行網(wǎng)絡(luò )安全等級保護的要求，主管機關(guān)將給予警告，對單位處以一萬(wàn)以上十萬(wàn)以下罰款，以及直接負責的主管人員五千元以上五萬(wàn)元以下的罰款。

《中華人民共和國網(wǎng)絡(luò )安全法》

第二十一條 國家實(shí)行網(wǎng)絡(luò )安全等級保護制度?！?。

第五十九條網(wǎng)絡(luò )運營(yíng)者不履行本法第二十一條、第二十五條規定的網(wǎng)絡(luò )安全保護義務(wù)的，由有關(guān)主管部門(mén)責令改正，給予警告;拒不改正或者導致危害網(wǎng)絡(luò )安全等后果的，處一萬(wàn)元以上十萬(wàn)元以下罰款，對直接負責的主管人員處五千元以上五萬(wàn)元以下罰款。

大數據的的平臺和系統也需要符合等保2.0的標準嗎？

是的。標準中將采用了大數據技術(shù)的信息系統，稱(chēng)為大數據系統。大數據系統通常由大數據平臺、大數據應用以及處理的數據集合構成，大數據系統的特征是數據體量大、種類(lèi)多、聚合快、價(jià)值高，受到破壞、泄露或篡改會(huì )對國家安全、社會(huì )秩序或公共利益造成影響，大數據安全涉及大數據平臺的安全和大數據應用的安全。

大數據平臺是為大數據應用提供資源和服務(wù)的支撐集成環(huán)境，包括基礎設施層、數據平臺層和計算分析層。大數據應用是基于大數據平臺對數據的處理過(guò)程，通常包括數據采集、數據存儲、數據應用、數據交換和數據銷(xiāo)毀等環(huán)節，上述各個(gè)環(huán)節均需要對數據進(jìn)行保護，大數據系統除按照等保2.0的標準要求進(jìn)行保護外，還需要考慮其特點(diǎn)，參照標準附錄補充和完善安全控制措施。

等保2.0和關(guān)鍵基礎設施的保護是什么關(guān)系？

關(guān)鍵基礎設施，是指公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能?chē)乐匚：野踩?、國計民生、公共利益的關(guān)鍵信息基礎設施。

國家在網(wǎng)絡(luò )安全等級保護制度的基礎上，實(shí)行重點(diǎn)保護。關(guān)鍵信息基礎設施的具體范圍和安全保護辦法由國務(wù)院制定。

即如果您的業(yè)務(wù)系統屬于關(guān)鍵基礎設施，除需符合等級保護的要求外，還應按照關(guān)鍵基礎設備的具體安全保護辦法來(lái)保護。