|
等保2.0正式公開(kāi)發(fā)布 5個(gè)問(wèn)題詳細(xì)解答 ??5月13日,國(guó)家市場(chǎng)監(jiān)督管理總局���、國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)召開(kāi)新聞發(fā)布會(huì)�����,通報(bào)國(guó)家標(biāo)準(zhǔn)制定流程改革的有關(guān)情況���,同時(shí)發(fā)布了一批重要國(guó)家標(biāo)準(zhǔn)。 在網(wǎng)絡(luò)安全領(lǐng)域�,等保2.0相關(guān)的《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》、《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》�、《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》等國(guó)家標(biāo)準(zhǔn)昨日正式發(fā)布,2019年12月1日開(kāi)始實(shí)施�����。此系列標(biāo)準(zhǔn)可有效指導(dǎo)網(wǎng)絡(luò)運(yùn)營(yíng)者�、網(wǎng)絡(luò)安全企業(yè)、網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)開(kāi)展網(wǎng)絡(luò)安全等級(jí)保護(hù)安全技術(shù)方案的設(shè)計(jì)和實(shí)施�����,指導(dǎo)測(cè)評(píng)機(jī)構(gòu)更加規(guī)范化和標(biāo)準(zhǔn)化地開(kāi)展等級(jí)測(cè)評(píng)工作�,進(jìn)而全面提升網(wǎng)絡(luò)運(yùn)營(yíng)者的網(wǎng)絡(luò)安全防護(hù)能力����,保障網(wǎng)絡(luò)的穩(wěn)定運(yùn)行�����。 網(wǎng)絡(luò)安全等級(jí)保護(hù)是國(guó)家信息安全保障的基本制度、基本策略�、基本方法。網(wǎng)絡(luò)安全等級(jí)保護(hù)工作是對(duì)信息和信息載體按照重要性等級(jí)分級(jí)別進(jìn)行保護(hù)的一種工作��。信息系統(tǒng)運(yùn)營(yíng)����、使用單位應(yīng)當(dāng)選擇符合國(guó)家要求的測(cè)評(píng)機(jī)構(gòu),依據(jù)《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》等技術(shù)標(biāo)準(zhǔn)�,定期對(duì)信息系統(tǒng)開(kāi)展測(cè)評(píng)工作。 《網(wǎng)絡(luò)安全法》明確規(guī)定信息系統(tǒng)運(yùn)營(yíng)��、使用單位應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度要求�,履行安全保護(hù)義務(wù),如果拒不履行��,將會(huì)受到相應(yīng)處罰�。 在金融、電力�����、廣電�、醫(yī)療、教育等行業(yè)����,主管單位明確要求從業(yè)機(jī)構(gòu)的信息系統(tǒng)要開(kāi)展等級(jí)保護(hù)工作。 信息系統(tǒng)運(yùn)營(yíng)���、使用單位通過(guò)開(kāi)展等級(jí)保護(hù)工作可以發(fā)現(xiàn)系統(tǒng)內(nèi)部的安全隱患與不足之處����,可通過(guò)安全整改提升系統(tǒng)的安全防護(hù)能力�,降低被攻擊的風(fēng)險(xiǎn)。 (一)省轄市以上黨政機(jī)關(guān)的重要網(wǎng)站和辦公信息系統(tǒng); (二)電信�����、廣電行業(yè)的公用通信網(wǎng)�����、廣播電規(guī)傳輸網(wǎng)等基礎(chǔ)信息網(wǎng)絡(luò)�����,經(jīng)營(yíng)性公眾互聯(lián)網(wǎng)信息服務(wù)單位�、互聯(lián)網(wǎng)接入服務(wù)單位�����、數(shù)據(jù)中心等單位的重要信息系統(tǒng)��; (三)鐵路���、銀行���、海關(guān)�����、稅務(wù)�����、民航�、電力���、證券�、保險(xiǎn)��、外交�����、科技�����、發(fā)展改革��、國(guó)防科技、公安�����、人事勞動(dòng)和社會(huì)保障����、財(cái)政、審計(jì)���、商務(wù)�、水利��、國(guó)土資源���、能源、交通��、文化����、教育、統(tǒng)計(jì)�、工商行政管理、郵政等行業(yè)���、部門(mén)的生產(chǎn)�、調(diào)度、管理����、辦公等重要信息系統(tǒng)。 1994年,《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》(國(guó)務(wù)院147號(hào)令)規(guī)定�����,“計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù)��,安全等級(jí)的劃分標(biāo)準(zhǔn)和安全等級(jí)保護(hù)的具體辦法�����,由公安部會(huì)同有關(guān)部門(mén)制定”�����,等級(jí)保護(hù)制度正式被提出���。 2016年10月����,公安部網(wǎng)絡(luò)安全保衛(wèi)局對(duì)原有國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求(GB/T 22239-2008)》等系列標(biāo)準(zhǔn)進(jìn)行修訂。2017年6月��,《網(wǎng)絡(luò)安全法》正式出臺(tái)���,信息安全等級(jí)保護(hù)過(guò)渡到網(wǎng)絡(luò)安全等級(jí)保護(hù)��,法規(guī)明確要求國(guó)家實(shí)施等保制度���。2019年5月,隨著《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求(GB/T 22239-2019)》《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求(GB/T 28448-2019)》等標(biāo)準(zhǔn)的正式發(fā)布����,標(biāo)志著等保2.0全面啟動(dòng)。 五����、關(guān)于等保2.0的部分新變化 將安全管理中心從管理層面提升至技術(shù)層面���。 等保2.0第三級(jí)安全要求結(jié)構(gòu): 等保2.0標(biāo)準(zhǔn)在1.0標(biāo)準(zhǔn)的基礎(chǔ)上���,實(shí)現(xiàn)了對(duì)傳統(tǒng)信息系統(tǒng)�����、基礎(chǔ)信息網(wǎng)絡(luò)����、云計(jì)算����、大數(shù)據(jù)、物聯(lián)網(wǎng)��、移動(dòng)互聯(lián)和工業(yè)控制信息系統(tǒng)等保護(hù)對(duì)象的全覆蓋���。 對(duì)于使用新技術(shù)的信息系統(tǒng)需要同時(shí)滿足“通用要求+安全擴(kuò)展”的要求�。 通用要求方面����,等保2.0標(biāo)準(zhǔn)的核心是“優(yōu)化”。刪除了過(guò)時(shí)的測(cè)評(píng)項(xiàng)�����,對(duì)測(cè)評(píng)項(xiàng)進(jìn)行合理性改寫(xiě),新增對(duì)新型網(wǎng)絡(luò)攻擊行為防護(hù)和個(gè)人信息保護(hù)等新要求����。等保2.0標(biāo)準(zhǔn)依然采用“一個(gè)中心、三重防護(hù)” 的理念�����,從等保1.0標(biāo)準(zhǔn)被動(dòng)防御的安全體系向事前預(yù)防�����、事中響應(yīng)��、事后審計(jì)的動(dòng)態(tài)保障體系轉(zhuǎn)變�����,注重全方位主動(dòng)防御���、安全可信�����、動(dòng)態(tài)感知和全面審計(jì)�����。 等保2.0標(biāo)準(zhǔn)不再自主定級(jí)���,而是通過(guò)“確定定級(jí)對(duì)象——>初步確定等級(jí)——>專家評(píng)審——>主管部門(mén)審核——>公安機(jī)關(guān)備案審查——>最終確定等級(jí)”這種線性的定級(jí)流程,系統(tǒng)定級(jí)必須經(jīng)過(guò)專家評(píng)審和主管部門(mén)審核��,才能到公安機(jī)關(guān)備案����,整體定級(jí)更加嚴(yán)格,將促進(jìn)定級(jí)過(guò)程更加規(guī)范��,系統(tǒng)定級(jí)更加合理�。 相較于等保1.0,等保2.0標(biāo)準(zhǔn)測(cè)評(píng)周期��、測(cè)評(píng)結(jié)果評(píng)定有所調(diào)整��。等保2.0標(biāo)準(zhǔn)要求�����,第三級(jí)以上的系統(tǒng)每年開(kāi)展一次測(cè)評(píng)�,修改了原先1.0時(shí)期要求四級(jí)系統(tǒng)每半年進(jìn)行一次等保測(cè)評(píng)的要求��。 (七)測(cè)評(píng)結(jié)果的變化 等保2.0里��,測(cè)評(píng)達(dá)到75分以上才算基本符合�����?�;痉指吡?����,要求變得更高�,過(guò)等保相對(duì)以往一是沒(méi)那么容易了�,另一點(diǎn)也需要投入更多。 安全管理中心中對(duì)集中管控做出了明確要求�,未來(lái)統(tǒng)一的集中管理平臺(tái)將成為剛需。集中管控具體要求如下: 1���、 應(yīng)劃分出特定的管理區(qū)域���,對(duì)分布在網(wǎng)絡(luò)中的安全設(shè)備或安全組件進(jìn)行管控; 2���、 應(yīng)能夠建立一條安全的信息傳輸路徑���,對(duì)網(wǎng)絡(luò)中的安全設(shè)備或安全組件進(jìn)行管理 3、 應(yīng)對(duì)網(wǎng)絡(luò)鏈路���、安全設(shè)備����、網(wǎng)絡(luò)設(shè)備和服務(wù)器等的運(yùn)行狀況進(jìn)行集中監(jiān)測(cè)�����; 4����、應(yīng)對(duì)分散在各個(gè)設(shè)備上的審計(jì)數(shù)據(jù)進(jìn)行收集匯總和集中分析,并保證審計(jì)記錄的留存時(shí)間符合法律法規(guī)要求����; 5、 應(yīng)對(duì)安全策略�、惡意代碼、補(bǔ)丁升級(jí)等安全相關(guān)事項(xiàng)進(jìn)行集中管理�; 6����、 應(yīng)能對(duì)網(wǎng)絡(luò)中發(fā)生的各類安全事件進(jìn)行識(shí)別���、報(bào)警和分析�����; 對(duì)于等保2.0中可信計(jì)算及密碼技術(shù)的應(yīng)用提出了明確要求�����,這將很大促進(jìn)可信計(jì)算及密碼技術(shù)的推廣及應(yīng)用��。 【版權(quán)提示】葫蘆娃安全尊重與保護(hù)知識(shí)產(chǎn)權(quán)���。若發(fā)現(xiàn)平臺(tái)文章存在版權(quán)問(wèn)題,請(qǐng)及時(shí)與我們聯(lián)系并處理�。 |
