什么是等保2.0?

分享到:
点击次数:64 更新时间:2020年12月01日14:36:16 打印此页 关闭

网络安全等级保护2.0标准,于2019年12月1日正式开始。


网络安全等级保护制度是我国网络安全领域的基本国策、基本制度,等级保护标准在1.0时代标准的基础上,注重主动防御,从被动防御到事前、事中、事后全流程的安全可信、动态感知和全面审计,实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联网和工业控制信息系统等级保护对象的全覆盖。


等保1.0和2.0标准之间的变化

等保1.0被动防御为主的防御无法满足当前发展要求,等保2.0适时而出,从标准要求、安全体系、实施环节等方面都有了变化。

1、标准要求变化

等级2.0在1.0基本上进行了优化,同时对云计算、物联网、移动互联网、工业控制、大数据新技术提出了新的安全扩展要求。在使用新技术的信息系统需要同时满足“通用要求+扩展要求”。且针对新的安全形势提出了新的安全要求,标准覆盖度更加全面,安全防护能力有很大提升。

等级2.0在1.0基本上进行了优化,同时对云计算、物联网、移动互联网、工业控制、大数据新技术提出了新的安全扩展要求。在使用新技术的信息系统需要同时满足“通用要求+扩展要求”。且针对新的安全形势提出了新的安全要求,标准覆盖度更加全面,安全防护能力有很大提升。

扩展要求扩展了云计算、物联网、移动互联网、工业控制、大数据。

2、安全体系变化

等保2.0相关标准依然采用“一个中心、三重防护”的理念,从等保1.0被动防御的安全体系向事前防御、事中相应、事后审计的动态保障体系转变。建立安全技术体系和安全管理体系,构建具备相应等级安全保护能力的网络安全综合防御体系,开展组织管理、机制建设、安全规划、通报预警、应急处置、态势感知、能力建设、监督检查、技术检测、队伍建设、教育培训和经费保障等工作。

3、等级规定动作

保护定级、备案、建设整改、等级测评、监督检查的实施过程中,等保2.0进行了优化和调整。

(1)定级对象的变化。

等保1.0定级的对象是信息系统,等保2.0的定级对象扩展至基础信息网络、工业控制系统、云计算平台、物联网、使用移动互联技术的网络、其他网络以及大数据等多个系统平台,覆盖面更广。

(2)定级级别的变化。

公民、法人和其他组织的合法权益产生特别严重损害时,相应系统的等级保护级别从1.0的第二级调整到了第三级(根据GA/T1389)。

(3)定级流程的变化。

等保2.0标准不再自主定级,二级及以上系统定级必须经过专家评审和主管部门审核,才能到公安机关备案,整体定级更加严格。

(4)测评合格要求提高

相较于等保1.0,等保2.0测评的标准发生了变化,2.0中测评结论分70分以上才算基本符合要求,基本分调高了,测评要求更加严格。

如何做等级保护工作?
等保2.0一般有如下5个步骤,定级、备案、建设和整改、等级测评和检查。
定级,为等级保护对象定级,按照信息的重要程度由低到高分为5个等级,1级为最低、5级为最高级别。如果定了1级,不需要做等级测评,自助进行保护即可;网络运营者通过自主+专家评审+主管部门环节定级。
备案,网络运营者需要去运营地区的网安部门办理备案手续。等级测评,主要是由公安部授权委托的全国100多家测评机构,对信息系统进行安全测评,测评通过后出具《等级保护测试报告》。



下一条:祝贺我公司中标某单位边界接入平台项目