通付盾--全球领先数字化安全服务提供商 覆盖数字身份安全、业务安全、数据安全、终端安全的数字化安全框架
信息安全资讯
QQ咨询 在线咨询 400-8318-116 免费申请试用

行业动态

等保2.0时代 我们如何应对

来源:本站原创 时间:2019-05-16 作者:adminX

    5月13日,网络安全等级保护技术2.0版本(简称等保2.0)正式公开发布,等保2.0覆盖工业控制系统、云计算、大数据、物联网等新技术新应用,为落实信息系统安全工作提供了方向和依据。下面,小编带您了解一下何为等保2.0。


1 什么是等级保护


    网络安全等级保护是国家信息安全保障的基本制度、基本策略、基本方法。网络安全等级保护工作是对信息和信息载体按照重要性等级分级别进行保护的一种工作。信息系统运营、使用单位应当选择符合国家要求的测评机构,依据《信息安全技术网络安全等级保护基本要求》等技术标准,定期对信息系统开展测评工作。


2 为何要做等级保护


法律规章要求


    《网络安全法》明确规定信息系统运营、使用单位应当按照网络安全等级保护制度要求,履行安全保护义务,如果拒不履行,将会受到相应处罚。


1.jpg

第二十一条规定


2.jpg

第三十八条规定


3.jpg

第五十九条规定


行业要求


    在金融、电力、广电、医疗、教育等行业,主管单位明确要求从业机构的信息系统要开展等级保护工作。


企业系统安全的需求


    信息系统运营、使用单位通过开展等级保护工作可以发现系统内部的安全隐患与不足之处,可通过安全整改提升系统的安全防护能力,降低被攻击的风险。


3 等级保护的发展历程


    1994年,《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)规定,“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”,等级保护制度正式被提出。


    2016年10月,公安部网络安全保卫局对原有国家标准《信息安全技术信息系统安全等级保护基本要求(GB/T 22239-2008)》等系列标准进行修订。2017年6月,《网络安全法》正式出台,信息安全等级保护过渡到网络安全等级保护,法规明确要求国家实施等保制度。2019年5月,随着《信息安全技术网络安全等级保护基本要求(GB/T 22239-2019)》《信息安全技术网络安全等级保护测评要求(GB/T 28448-2019)》等标准的正式发布,标志着等保2.0全面启动。


4.jpg


4 等保2.0较等保1.0的变化


5.jpg

结构的变化


6.jpg

要求项的变化

   

     除上述两项差异外,从等保1.0到等保2.0,扩展要求的变化差异主要体现如下:


安全通用要求;

云计算扩展要求;

移动互联安全扩展要求;

物联网安全扩展要求;

工业控制系统安全扩展要求。


    等保1.0只针对网络和信息系统,等保2.0则把云计算、大数据、物联网等新业态也纳入了监管,将原来的标准《信息安全技术信息系统安全等级保护基本要求》改为《信息安全技术网络安全等级保护基本要求》,与《中华人民共和国网络安全法》中的相关法律条文保持一致。无论是自身法律效力亦或法律依据的效力位阶,等保2.0均高于等保1.0,等保1.0到2.0不仅仅是制度修订,技术的升级,更是法律效力的提升。


    等保2.0调整各个级别的安全要求为安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求和工业控制系统安全扩展要求。把监管对象从体制内拓展到全社会,此次深层次推进,将极大促进国家网络安全保障水平的提高、产业的进步。


5 容易进入的认知误区


    尽管等保制度早就成为网络安全领域里的标准法规,但对于网络安全等级保护制度仍难免存在一些认识误区:


信息系统物理隔离就不用落实等保工作


    这是最常见的误区,所有信息系统都要落实,即使物理隔离的信息系统也要落实等保工作。一般物理隔离的信息系统,都是因为重要才隔离,定级会比较高,反而是等保工作的重点。


企业信息系统瘫痪只影响企业利益,等保定级可以比较低


    等保定级一般分系统服务安全和业务信息安全两个维度,企业大多数系统服务受破坏只影响企业业务,定级要求不高。但是涉及公民个人信息的企业,业务信息安全就相对较高。特别是近几年数据共享,数据价值越来越被重视,企业手中数据越来越多,带来的安全责任当然也是越来越大。


信息系统上云就安全了


    很多单位认为网站和信息系统上云后就安全了,等保不用做了。信息系统是否上云,安全责任主体都不会变。各类云平台只提供平台和简单的安全措施,安全责任主体单位还是要按等保要求落实相应的安全工作,只是物理和环境安全等部分安全工作由云平台承担。


通付盾数字化安全解决方案助力等保合规


数字安全框架(终版).jpg


    等保2.0时代,从调整各个级别的安全要求为安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网等安全扩展要求不难看出,安全始终与互联网行业相辅相成,互联网带动各行业日新月异的数十年间,大数据、云计算、物联网、人工智能、区块链等新技术不断显现,并逐渐向产业和行业下沉。通付盾作为国内信息安全领域的领军企业,连续三年入选“中国网络安全企业50强”,一直以数字身份认证为核心,构建了覆盖移动安全、大数据安全、云安全、身份安全的“数字化安全框架”,打破原有布局,打造了基于无边界、零信任、自适应安全框架的“云、网、端、边”数字化安全解决方案,解决了网络安全产品碎片化问题,助力不同行业及企业等保合规。

帮助文档
联系我们
  • 商务咨询:info@tongfudun.com
  • 售后服务:service@tongfudun.com
  • 市场合作:info@tongfudun.com
  • 英才招聘:jobs@tongfudun.com
  • 蓝海基金:bp@tongfudun.com
  • 联系电话:400-831-8116
随时随地了解通付盾动态 敬请关注:

通付盾
官方微博

通付盾
官方公众号