信息安全技术 网络安全等级保护测评要求_光证普法NO.108：等保2.0系列解读之一 ——信息安全技术网络安全等级保护基本要求...

前 言

2019年5月13日，《信息安全技术网络安全等级保护基本要求》《信息安全技术网络安全等级保护测评要求》《信息安全技术网络安全等级保护安全设计技术要求》三项国家标准正式发布，并于2019年12月1日实施。该3项制度就是我们常说的网络安全等级保护2.0制度(以下简称“等保2.0)。

今天小编就带大家了解等保2.0其中一项重要制度——《信息安全技术网络安全等级保护基本要求》(以下简称《基本要求》)。

一、等保2.0的前世今生

我国自2007年开始正式实施信息安全等级保护制度，2007年和2008年颁布实施的《信息安全等级保护管理办法》和《信息系统安全等级保护基本要求》，被称为等保1.0。等保1.0对于我国全面推行等保体系、普及等保概念、强化安全意识发挥了非常重要的作用。然而，随着信息技术的飞速发展，尤其是近年来大数据、云计算、物联网的发展和应用，等保1.0在保护对象的范围、保护方法等方面均需要进一步完善。另一方面，于2017年6月1日施行的《中华人民共和国网络安全法》，作为网络安全领域的基础性法律，在第21条规定了国家实行网络安全等级保护制度，要求网络运营者应当按照网络安全等级保护制度要求，履行安全保护义务；第31条规定国家对于重要行业和领域以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护；第59条规定不履行网络安全保护义务的，由有关主管部门给予处罚。等级保护制度从条例法规提升至法律层面，不开展等级保护就是违法。

在等保1.0的基础上，等保2.0进一步扩大了保护对象的范围、丰富了保护方法、增加了技术标准；将网络基础设施、重要信息系统、大型互联网站、大数据中心、云计算平台、物联网系统、工业控制系统、公众服务平台等纳入等级保护对象；将风险评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处置、自主可控、供应链安全、效果评价、综治考核、安全员培训等工作措施纳入等级保护制度。

二、《基本要求》主要变化

《信息安全技术网络安全等级保护基本要求》由《信息安全技术信息系统安全等级保护基础要求》修订而来，相比后者，《基本要求》发生了以下变化。

三、等级保护对象的定义

等级保护对象是指网络安全等级保护工作中的对象，通常是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统，主要包括基础信息网络、云计算平台/系统、大数据应用/平台/资源、物联网(IoT)、工业控制系统和采用移动互联技术的系统等。等级保护对象根据其在国家安全、经济建设、社会生活中的重要程度，遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等，由低到高被划分为五个安全保护等级。

四、不同级别的安全保护能力

不同级别的等级保护对象应具备的基本安全保护能力如下：

第一级安全保护能力：应能够防护免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难，以及其他相当危害程度的威胁所造成的关键资源损害，在自身遭到损害后，能够恢复部分功能。

第二级安全保护能力：应能够防护免受来自外部小型组织的、拥有少量资源的威肋源发起的恶意攻击、一般的自然灾难，以及其他相当危害程度的威胁所造成的重要资源损害，能够发现重要的安全漏洞和处置安全事件，在自身遭到损害后，能够在一段时间内恢复部分功能。

第三级安全保护能力：应能够在统一安全策略下防护免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难，以及其他相当危害程度的威胁所造成的主要资源损害，能够及时发现、监测攻击行为和处置安全事件，在自身遭到损害后，能够较快恢复绝大部分功能。

第四级安全保护能力：应能够在统一安全策略下防护免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难，以及其他相当危害程度的威胁所造成的资源损害，能够及时发现、监测发现攻击行为和安全事件，在自身遭到损害后，能够迅速恢复所有功能。

第五级安全保护能力：略。

五、安全通用要求和安全扩展要求

由于业务目标的不同、使用技术的不同、应用场景的不同等因素，不同的等级保护对象会以不同的形态出现，表现形式可能称之为基础信息网络、信息系统(包含采用移动互联等技术的系统)、云计算平台/系统、大数据平台/系统、物联网、工业控制系统等。形态不同的等级保护对象面临的威胁有所不同，安全保护需求也会有所差异。为了便于实现对不同级别和不同形态的等级保护对象的共性化和个性化保护，等级保护要求分为安全通用要求和安全扩展要求。安全通用要求针对共性化保护需求提出，等级保护对象无论以何种形式出现，应根据安全保护等级实现相应级别的安全通用要求；安全扩展要求针对个性化保护需求提出，需要根据安全保护等级和使用的特定技术或特定的应用场景选择性实现安全扩展要求。安全通用要求和安全扩展要求共同构成了对等级保护对象的安全要求。

结 语

以上就是小编对《信息安全技术网络安全等级保护基本要求》的简要介绍。大数据时代下,等保2.0作为一个普适性的制度，对所有的网络运营者都将产生巨大影响，开展网络安全等级保护已成为未来企业合规运营的必经之路。接下来的几期，我们将从等保2.0的定级、备案、建设整改、等级测评、监督检查等不同阶段给大家进行全面介绍。

免责声明

本公众号仅作为学习和研究使用，不构成对任何人的投资和建议，您直接或间接基于本公众号内容做出的投资应自行承担风险，光大证券及作者不对此承担任何责任。

本公众号上所转载或引用内容均标注来源及出处，仅代表原作者本人，不代表光大证券立场。转载或引用内容的版权归原作者所有，如需使用请联系原作者并获得许可。如涉嫌侵权，请及时联系我们，我们将及时更正或删除有关内容。

1

END

1

法律合规部·合规监测团队

出品