信息安全

等保2.0变化的几个关键点是什么?

2020-10-13 13:18:59 | 来源:中培企业IT培训网

随着互联网技术的不断更新和发展,我国的信息化建设正在逐步深化。这推动新技术的不断发展,很多技术已经成为产业结构升级的坚实基础。其中,网络和信息系统作为新兴产业的基础设施,为整个产业的发展奠定了神经中心。网络和信息系统安全性的重要性不言而喻。国家市场监管总局发布的《信息安全技术网络安全等级保护基本要求》已于2019年12月1日正式实施。那么等保2.0变化的几个关键点是什么?

  等保2.0变化的几个关键点是什么?

首先是意义的变化:由信息安全等级保护→网络安全等级保护,强调网络空间安全。网络安全法第21条、第31条明确规定了网络运营者和关键信息基础设施运营者,都应该按网络安全等级保护制度的要求对系统进行安全保护,以法律的形式确定等级保护工作为国家网络安全的基本国策,并在法律层面确立了其在网络安全领域的基础、核心地位。

第二,是对象的变化。新等保实现了保护对象的全覆盖,更具普适性与指导性,对象扩大了,通用要求加扩展要求,更适应当前信息化高速发展所面临的新问题新挑战。

第三,定级上的变化,三级系统的定级新增了一类受侵害客体:对于公民、法人和其他组织的合法权益造成严重影响的应定为三级。

第四,是测评标准的变化。测评要求的【测评单元】中增加了【测评对象】项,进一步明确了测评的对象。测评条件更具适应性但是要求更严格(复测评周期、测评控制项的减少、合规基线上调测评75分以上合格,当然这部分要求在部分地区部分行业主管单位现行等保标准也有基于现状及预期效果有弹性要求、例如个别地区卫健委要求医院等保初次等保测评合格分数基线为80分,复测评合格分数基线为85分)、某省金融行业等保测评合格分数基线为90分。四级及以上系统复测评周期延长,改为一年为复测评周期,兼顾考虑了实际等级保护工作的所面临的复杂情况,更符合实际工作的场景。

等保2.0在定级备案实施也发生了变化,在备案环节原30天内备案的时间缩短为10个工作日。等保2.0的定级,不是自主定级,到公安机关定级备案前要新增两个关键环节,确保定级备案的严谨与准确,第一对于定级对象的等级要经过专家评审,第二要经得主管部门审核通过,才能到公安机关备案确定最终等级保护对象的级别,整体定级更加严格。新建的第三级以上定级对象,通过等级测评后方可投入运行,加强“同步性”原则。

从等级保护2.0框架中能够体现“一个中心,三重防护”的思想得以升华,等保2.0标准体系相比现行等保标准的安全体系更注重动态防御,强调事前预防、事中响应、事后审计。等级保护2.0体系中要求应依据国家网络安全等级保护政策和标准,开展组织管理、机制建设、安全规划、安全监测、通报预警、应急处置、态势感知、能力建设、监督检查、技术检测、安全可控、队伍建设、教育培训和经费保障等工作。

等保2.0首次加入了可信计算的相关要求并分级逐级提出可采用可信验证的要求。注意是可采用不是应采用。另外在恶意代码防范方面三级系统要求或采用主动免疫可信验证机制。四级以上恶意代码防范方面要求应采用主动免疫可信验证机制。

等保2.0新增个人信息保护内容,个人信息安全做为网络安全法的内容在等保要求控制项中也独立出现,在当前政务互通、人物互联,个人信息被广泛采集的商业、政务环境下,意指提升个人信息保护的重要性和必要性。

  解读等保2.0

在过去10余年的等级保护实施建设中,等级保护工作给社会各界带来了示范性、标准化的指导和积极影响,等级保护制度是一套相对严谨有效的网络安全标准制度。但是,对于等级保护标准制度的实施与建设仍然还有部分地区部分网络安全从业者存在理解上的误区和疑问。

上述就是关于等保2.0变化的几个关键点是什么的全部内容介绍,想了解更多关于等保2.0的信息,请继续关注中培伟业。