当“等级保护”制度从法规条例变成法律条款
更新时间:2020-10-15
浏览量:2335

2019年12月1日,网络安全等级保护制度2.0标准(以下简称“等保2.0”)开始正式实施。将《网络安全法》作为等级保护制度的最高国家政策,意味着等级保护从法规条例时代走向法律时代!
 


《网络安全法》出台后,等级保护进入2.0时代,这意味着2007年四部门建立的“信息安全等级保护体系”已全面升级到“网络安全等级保护2.0体系”。网络安全等级保护是国家网络安全保障的基本制度、基本策略、基本方法。开展网络安全等级保护工作是保护信息化发展、维护网络安全的根本保障,是网络安全保障工作中国家意志的体现。

 

等级保护安全框架图


值得一提的是,虽然网络安全等级保的“五个等级”及“主体职责”没有变化,但是,等保2.0已经从法规条例上升到法律层面。

等保1.0时代的最高国家政策是《中华人民共和国计算机信息系统安全保护条例(国务院147号令)》,而等保2.0时代的最高国家政策是《中华人民共和国网络安全法》。换言之,等保2.0实施后,不开展等级保护等于违反《网络安全法》,可以根据法律规定进行处罚。

《网络安全法》第二十一条要求,国家实施网络安全等级保护制度;第二十五条要求,网络运营者应当制定网络安全事件应急预案;第三十一条则要求,关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护;第五十九条明确了,网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门给予处罚。

相较于1.0版本,等保2.0在内容上到底有哪些变化呢?

 

等保1.0与等保2.0对比图

 

等保定级划分


标准要求的变化

等保1.0主要强调物理安全、主机安全、网络安全、应用安全、数据安全及备份恢复等通用要求,而等保2.0标准在对等保1.0标准基本要求进行优化的同时,针对云计算、物联网、移动互联网、工业控制、大数据新技术提出了新的安全扩展要求

安全通用要求是不管等级保护对象的形态如何都必须满足的要求;安全扩展要求则是针对特殊技术场景所提出的特殊保护要求,使用新技术的信息系统需要同时满足安全通用要求和新技术的安全扩展要求。例如:

云计算扩展要求

云计算技术的普及,解决了传统数据中心的存储难、资源占用大、成本高等问题,伴随而来安全风险也非常尖锐,主要来自于系统和数据所有权的转移,新技术、虚拟环境等新模式两方面带来的风险。等保2.0标准从原则性、自身防护、提供能力三方面提出了要求:

原则性要求:
应确保云计算平台不承载高于其安全保护等级的业务应用系统;应确保云计算基础设施位于中国境内;应确保云服务客户数据、用户个人信息等存储于中国境内,如需出境应遵循国家相关规定等。

自身防护要求:
应能检测到云服务客户发起的网络攻击行为,并能记录攻击类型、攻击时间、攻击流量等;应能检测虚拟机之间的资源隔离失效,并进行告警等。

提供能力要求:
应实现不同云服务客户虚拟网络之间的隔离;应具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制的能力等。
对大数据、物联网、工业控制、移动互联网等新技术的安全要求如下:

 


此外,等保2.0标准还对安全通用要求进行了优化,删除了一些过时的要求项,对一些要求项进行精简与合理性改写,新增对新型网络攻击行为防范、垃圾邮件防范和个人信息保护等一些新的要求,也调整了控制措施分类结构。
 


等保定级的变化

等保1.0定级的对象是信息系统,等保2.0标准的定级的对象扩展至:基础信息网络、云计算平台、物联网、工业控制系统、使用移动互联技术的网络以及大数据平台等多个系统,覆盖面更广。

再者,在系统遭到破坏后,对公民、法人和其他组织的合法权益造成特别严重损害的由原来的最高定为二级改为现在的最高可以定为三级。
最后,等保2.0标准不再强调自主定级,而是强调合理定级,系统定级必须经过专家评审和主管部门审核,才能到公安机关备案,定级更加严格。

等保测评的变化

相较于等保1.0,等保2.0标准的测评要求更加严格,第三级以上的系统每年要开展一次测评,测评达到70分以上才算基本符合要求,并在测评标准中增加了高风险判例。

安全体系的变化

等保2.0标准依然沿用等保1.0标准的“一个中心、三重防护” 的理念,只是从等保1.0标准的被动防御的安全体系向事前预防、事中响应、事后审计的动态保障体系转变。

 

网络安全等级保护安全技术设计框架


通过建立安全技术体系和安全管理体系,构建具备相应等级安全保护能力的网络安全综合防御体系,开展组织管理、机制建设、安全规划、通报预警、应急处置、态势感知、能力建设、监督检查、技术检测、队伍建设、教育培训和经费保障等工作。

2019年12月1日,网络安全等级保护制度2.0标准(以下简称“等保2.0”)开始正式实施。将《网络安全法》作为等级保护制度的最高国家政策,意味着等级保护从法规条例时代走向法律时代!
 


《网络安全法》出台后,等级保护进入2.0时代,这意味着2007年四部门建立的“信息安全等级保护体系”已全面升级到“网络安全等级保护2.0体系”。网络安全等级保护是国家网络安全保障的基本制度、基本策略、基本方法。开展网络安全等级保护工作是保护信息化发展、维护网络安全的根本保障,是网络安全保障工作中国家意志的体现。

 

等级保护安全框架图


值得一提的是,虽然网络安全等级保的“五个等级”及“主体职责”没有变化,但是,等保2.0已经从法规条例上升到法律层面。

等保1.0时代的最高国家政策是《中华人民共和国计算机信息系统安全保护条例(国务院147号令)》,而等保2.0时代的最高国家政策是《中华人民共和国网络安全法》。换言之,等保2.0实施后,不开展等级保护等于违反《网络安全法》,可以根据法律规定进行处罚。

《网络安全法》第二十一条要求,国家实施网络安全等级保护制度;第二十五条要求,网络运营者应当制定网络安全事件应急预案;第三十一条则要求,关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护;第五十九条明确了,网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门给予处罚。

相较于1.0版本,等保2.0在内容上到底有哪些变化呢?

 

等保1.0与等保2.0对比图

 

等保定级划分


标准要求的变化

等保1.0主要强调物理安全、主机安全、网络安全、应用安全、数据安全及备份恢复等通用要求,而等保2.0标准在对等保1.0标准基本要求进行优化的同时,针对云计算、物联网、移动互联网、工业控制、大数据新技术提出了新的安全扩展要求

安全通用要求是不管等级保护对象的形态如何都必须满足的要求;安全扩展要求则是针对特殊技术场景所提出的特殊保护要求,使用新技术的信息系统需要同时满足安全通用要求和新技术的安全扩展要求。例如:

云计算扩展要求

云计算技术的普及,解决了传统数据中心的存储难、资源占用大、成本高等问题,伴随而来安全风险也非常尖锐,主要来自于系统和数据所有权的转移,新技术、虚拟环境等新模式两方面带来的风险。等保2.0标准从原则性、自身防护、提供能力三方面提出了要求:

原则性要求:
应确保云计算平台不承载高于其安全保护等级的业务应用系统;应确保云计算基础设施位于中国境内;应确保云服务客户数据、用户个人信息等存储于中国境内,如需出境应遵循国家相关规定等。

自身防护要求:
应能检测到云服务客户发起的网络攻击行为,并能记录攻击类型、攻击时间、攻击流量等;应能检测虚拟机之间的资源隔离失效,并进行告警等。

提供能力要求:
应实现不同云服务客户虚拟网络之间的隔离;应具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制的能力等。
对大数据、物联网、工业控制、移动互联网等新技术的安全要求如下:

 


此外,等保2.0标准还对安全通用要求进行了优化,删除了一些过时的要求项,对一些要求项进行精简与合理性改写,新增对新型网络攻击行为防范、垃圾邮件防范和个人信息保护等一些新的要求,也调整了控制措施分类结构。
 


等保定级的变化

等保1.0定级的对象是信息系统,等保2.0标准的定级的对象扩展至:基础信息网络、云计算平台、物联网、工业控制系统、使用移动互联技术的网络以及大数据平台等多个系统,覆盖面更广。

再者,在系统遭到破坏后,对公民、法人和其他组织的合法权益造成特别严重损害的由原来的最高定为二级改为现在的最高可以定为三级。
最后,等保2.0标准不再强调自主定级,而是强调合理定级,系统定级必须经过专家评审和主管部门审核,才能到公安机关备案,定级更加严格。

等保测评的变化

相较于等保1.0,等保2.0标准的测评要求更加严格,第三级以上的系统每年要开展一次测评,测评达到70分以上才算基本符合要求,并在测评标准中增加了高风险判例。

安全体系的变化

等保2.0标准依然沿用等保1.0标准的“一个中心、三重防护” 的理念,只是从等保1.0标准的被动防御的安全体系向事前预防、事中响应、事后审计的动态保障体系转变。

 

网络安全等级保护安全技术设计框架


通过建立安全技术体系和安全管理体系,构建具备相应等级安全保护能力的网络安全综合防御体系,开展组织管理、机制建设、安全规划、通报预警、应急处置、态势感知、能力建设、监督检查、技术检测、队伍建设、教育培训和经费保障等工作。