基础介绍
- 网络安全等级保护2.0(简称“等保2.0”)是中国在网络安全领域的一项基本制度,它是在《中华人民共和国网络安全法》指导下,对原有的网络安全等级保护制度进行的重大升级。等保2.0的发布与实施,旨在全面强化中国的网络安全保障能力,提升网络安全防护水平,确保关键信息基础设施和重要信息系统的稳定运行。
与1.0相比有哪些区别
- 名称和法律效力变化:
- 等保2.0被称为“网络安全等级保护”,而等保1.0被称为“信息系统安全等级保护”。《网络安全法》明确规定国家实行网络安全等级保护制度,将这一制度的落实上升为法律义务,强化了其法律效力
- 保护对象拓展:
- 等保1.0主要保护各类信息系统,而等保2.0除了信息系统外,还纳入了网络基础设施、云计算平台/系统、采用移动互联技术的系统、物联网、工业控制系统等
- 控制措施分类调整:
- 等保1.0中控制措施分为技术和管理两个方面,等保2.0则调整为技术要求分为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心,管理要求分为安全管理制度、安全管理机构、安全人员管理、安全建设管理和安全运维管理
- 内容扩充:
- 等保1.0主要包括定级、备案、建设整改、等级测评和监督检查五个规定性动作。等保2.0在此基础上,增加了风险评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处置等方面的要求
- 评测要求变化:
- 等保2.0的测评结论分为优、良、中、差四个等级,而等保1.0时代的测评结论为符合、基本符合、不符合。等保2.0的及格线由原先的60分提高到了70分
- 安全设备和措施的推荐:
- 等保2.0对于不同级别的保护提出了具体的安全设备和措施的推荐,如二级和三级保护在机房安全、网络安全、应用及数据安全等方面需要部署的安全产品有所不同
等保2.0实施的具体步骤:
- 系统定级:
- 信息系统运营使用单位按照《信息安全等级保护管理办法》和《网络安全等级保护定级指南》,初步确定定级对象的安全保护等级,并起草《网络安全等级保护定级报告》。对于二级以上的系统,定级结论需要进行专家评审、主管部门审核和备案 。
- 安全方案设计:
- 根据安全保护等级选择基本安全措施,并依据风险分析的结果补充和调整安全措施。进行安全整体规划和安全方案设计,并形成配套文件。
- 产品采购和使用:
- 确保网络安全产品采购和使用符合国家的相关规定,包括密码产品与服务的采购和使用。
- 自行软件开发或外包软件开发:
- 如果是自行开发,需要将开发环境与实际运行环境物理分开,测试数据和测试结果受到控制。如果是外包开发,则应在软件交付前检测其中可能存在的恶意代码。
- 工程实施:
- 指定或授权专门的部门或人员负责工程实施过程的管理,并制定安全工程实施方案。
- 测试验收:
- 制订测试验收方案,并依据测试验收方案实施测试验收,形成测试验收报告。
- 系统交付:
- 制定交付清单,并对所交接的设备、软件和文档等进行清点。
- 等级测评:
- 定期进行等级测评,发现不符合相应等级保护标准要求的及时整改。
- 安全运维管理:
- 包括环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理等。
- 监督检查:
- 确保等保2.0的实施效果,并对不符合要求的地方进行整改。
