作者:叶子
原文出自:云子可信官方论坛
随着等保2.0从2019年12月1日开始实施,我国网络安全行业正式进入强监管时代。相对于等保1.0,等保2.0在1.0的基础上,更加注重全方位主动防御、动态防御、整体防控和精准防护,除了基本要求外,还增加了对云计算、移动互联、物联网、工业控制和大数据等对象全覆盖。
等保2.0弥补了等保1.0在实际开展过程中的不足,推动了整个网络安全等级保护制度的落实。同时落实等保2.0能发现相关机构、单位、企业的网络和信息系统与国家安全标准之间存在的差距,更有利于明确网络安全责任,加强企业网络安全管理。
图片
一、等保2.0不能忽视的8个重要变化
01结构的变化
将安全管理中心从管理层面提升至技术层面。
02覆盖范围的变化
等保2.0标准在1.0标准的基础上,实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联和工业控制信息系统等保护对象的全覆盖。
03防护理念的变化
通用要求方面,等保2.0标准的核心是“优化”。删除了过时的测评项,对测评项进行合理性改写,新增对新型网络攻击行为防护和个人信息保护等新要求。
等保2.0标准依然采用“一个中心、三重防护” 的理念,从等保1.0标准被动防御的安全体系向事前预防、事中响应、事后审计的动态保障体系转变,注重全方位主动防御、安全可信、动态感知和全面审计。
图片
04定级流程的变化
等保2.0标准不再自主定级,而是通过“确定定级对象——>初步确定等级——>专家评审——>主管部门审核——>公安机关备案审查——>最终确定等级”这种线性的定级流程,系统定级必须经过专家评审和主管部门审核,才能到公安机关备案,整体定级更加严格,将促进定级过程更加规范,系统定级更加合理。
05测评周期的变化
等保2.0标准要求,第三级以上的系统每年开展一次测评,修改了原先1.0时期要求四级系统每半年进行一次等保测评的要求。
06测评结果的变化
等保2.0里,测评达到75分以上才算基本符合。基本分高了,要求变得更高,过等保相对以往一是没那么容易了,另一点也需要投入更多。
07集中管控的变化
安全管理中心中对集中管控做出了明确要求,未来统一的集中管理平台将成为刚需。集中管控具体要求如下:
a) 应划分出特定的管理区域,对分布在网络中的安全设备或安全组件进行管控;
b) 应能够建立一条安全的信息传输路径,对网络中的安全设备或安全组件进行管理
c) 应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测;
d) 应对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间符合法律法规要求;
e) 应对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理;
f) 应能对网络中发生的各类安全事件进行识别、报警和分析;
08新技术要求的变化
对于等保2.0中可信计算及密码技术的应用提出了明确要求,这将很大促进可信计算及密码技术的推广及应用。
二、等保2.0实施对企业的影响
根据谁主管谁负责、谁运营谁负责、谁使用谁负责的原则,网络运营者成为等级保护的责任主体,如何快速高效地通过等级保护测评成为企业开展业务前必须思考的问题。
图片
等保2.0有5个运行步骤:定级、备案、建设和整改、等级测评、检查。同时,也分5个等级,即信息系统按重要程度由低到高分为5个等级,并分别实施不同的保护策略。
根据《网络安全法》第五十九条规定:
1网络运营者不履行义务的:由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。2关键信息基础设施的运营者不履行义务的 :由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
划重点:用户单位不做等级保护测评,单位需要被罚款1万-100万;主管人员需要被罚款5000-100000。
等保2.0可以说是我国网络安全的历史性升级,同时企业也面临着重要挑战,只有通过不断夯实网络安全工作的各个层面,提高安全水平和防御能力,才能保障企业或单位的网络系统稳定运行。
网友评论