《信息安全技术网络安全等级保护基本要求》2.0版本于2019年12月1日开始实施。这是我国实行网络安全等级保护制度过程中的一件大事,具有里程碑意义。
什么是等保?
等保,即网络安全等级保护标准。2007年我国信息安全等级保护制度正式实施,2007年和2008年颁布实施的《信息安全等级保护管理办法》和《信息系统安全等级保护基本要求》,被称为等保1.0。通过十余年时间的发展与实践,成为了我国非涉密信息系统网络安全建设的重要标准。
网络安全等级保护标准是监管部门合规执法检查的依据,是我国诸多网络信息安全标准制度的重要参考体系架构,是行业主管部门对于下级部门网络安全建设的指引标准的重要依据和参考体系,由此标准衍生了诸多行业标准:例如人社行业等保标准、金融行业等保标准、能源行业(电力)等保标准、教育行业等保标准等行业标准。总的来说,等保制度是网络安全从业者开展网络安全工作的重要指导体系和制度。
网络安全等级保护制度是我国网络安全领域的基本国策、基本制度,等级保护标准2.0在1.0标准的基础上,更注重主动防御,从被动防御到事前、事中、事后全流程的安全可信、动态感知和全面审计,实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联网和工业控制信息系统等级保护对象的全覆盖。
等保1.0与等保2.0的区别
等保1.0与等保2.0对比
等保2.0结构变化
等保2.0测评要求项的变化
等保2.0是否更加严格?
等保测评结论由1.0时代的符合、基本符合、不符合改为2.0时代的优、良、中、差四个等级。其中测评结论“差”的判别依据是被测对象中存在安全问题,而且会导致被测对象面临高等级安全风险,或被测对象综合得分低于70分。
简单而言,“差”是在系统中存在高危风险或得分低于70分。相当于等保1.0时代中的不符合。但是可以看出来等保的及格线已经由原先的60分提高到了70分,等保对安全的最低要求显然已经在提高。
为什么要颁布实施等保2.0?
因为“等保1.0”不仅缺乏对一些新技术和新应用的等级保护规范,比如云计算、大数据和物联网等,而且风险评估、安全监测和通报预警等工作以及政策、标准、测评、技术和服务等体系不完善。
为适应新技术的发展,解决云计算、物联网、移动互联和工控领域信息系统的等级保护工作的需要,由公安部牵头组织开展了信息技术新领域等级保护重点标准申报国家标准的工作,等级保护正式进入2.0时代。
等保2.0的发布,是对除传统信息系统之外的新型网络系统安全防护能力提升的有效补充,是贯彻落实《中华人民共和国网络安全法》、实现国家网络安全战略目标的基础。
350
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
