一、什么是等保2.0
网络安全等级保护已经进入2.0时代,等级保护制度已被打造成新时期国家网络安全的基本国策和基本制度。应急处置、灾难恢复、通报预警、安全监测、综合考核等重点措施全部纳入等保制度并实施,对重要基础设施重要系统以及“云、物、移、大、工控”纳入等保监管,将互联网企业纳入等级保护管理。
去年和今年等保大会的一个共同的重点是新等保标准——等保2.0,现在正在征询意见,预计于今年年底或明年年初正式发布。今年等保工作信息化建设的整体思路是紧跟随网络安全法的步伐, 以此为核心延伸出了关键信息基础设施、态势感知平台、应急响应等重点方面的话题。
二、等保2.0与网络安全法的关系
等保2.0的标准是国内非涉密信息系统的安全集成标准,网络安全法是作为法律、中国信息安全的基本法。网络安全法中明确的提到信息安全的建设要遵照等级保护标准来做建设。
网络安全法从立法到配套法律法规的确定完善,到市场上反映出来一定的效果是需要一定的过程的。这个过程在于执法是否落实到位,规定的标准是否真的符合业务安全痛点。
三、等保2.0与原信息安全等保标准的不同
从名称上来看,原信息安全等保标准叫做信息安全等级保护制度,现在2.0叫做网络安全等级保护制度。这意味着,等级保护上升到了网络空间安全的层面。这个名称的改变意味着等级保护的对象全面升级:之前保护的对象是计算机信息系统,而现在上升到网络空间安全了,除了包含之前的计算机信息系统,还包含网络安全基础设施、云、移动互联网、物联网、工业控制系统、大数据安全等对象。
另外还有一个重点,是等保定级方式的改变,这次在等保大会上有一个新的信息,就是等级保护2.0的定级并不是用户自主定级,而是要参照定级指南进行定级。
四、如何做好等保2.0
等保的基本框架包含技术和管理,两个核心维度。
如上图所示,等保2.0将等保工作的技术要求和管理要求细分为了更加具体的八大类:物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全;全策略和管理制度、全管理机构和人、安全建设管理、安全运维管理。而等保2.0在以上基本要求之外,提出了云安全、移动互联网安全、物联网安全、工业控制系统安全、大数据安全等网络空间扩展要求,且每个部分都有详细的安全标准。这些都是等保工作需要做的重点工作。
五、等保2.0时代的展望
等级保护2.0时代,将根据信息技术发展应用好人网络安全态势,不断丰富制度内涵、拓展保护范围、完善监管措施,逐步健全安全等级保护制度政策、标准和支撑体系。
等级保护上升为法律
《中华人民共和国网络安全法》第21条规定“国家实行网络安全等级保护制度”,要求“网络运营者应当按照网络安全等级保护制度,履行安全保护义务”;第31条规定“对于国家关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护”。
等级保护对象将不断拓展
随着云计算、移动互联、大数据、物联网、人工智能等新技术不断涌现,计算机信息系统的概念已经不能涵盖全部,特别是互联网快速发展带来大数据价值的凸显,等保保护对象的外延将不断拓展。
等级保护工作内容将持续扩展
在定级、备案、建设整改、等级测评和监督检查等规定动作基础上,2.0时代风险评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处置、自主可控、供应链安全、效果评价、综治考核等这些与网络安全密切相关的措施都将全部纳入等级保护制度并加以实施。
等级保护体系将进行重大升级
2.0时代,主管部门将继续制定出台一系列政策法规和技术标准,形成运转顺畅的工作机制,在现有体系基础上,建立完善等级保护政策体系、标准体系、测评体系、技术体系、服务体系、关键技术研究体系、教育训练体系等。