网络安全等级保护2.0什么时候实施,相比1.0有哪些变化?
2019年,等保2.0相关的《信息安全技术 网络安全等级保护基本要求》、《信息安全技术 网络安全等级保护测评要求》、《信息安全技术 网络安全等级保护安全设计技术要求》等国家标准正式发布,并于2019年12月1日开始实施,我国也正式迈入等保2.0时代。
下面是等保2.0三大核心新标准的介绍:
1、GB/T 22239-2019 《信息安全技术 网络安全等级保护基本要求》
该项标准是等级保护标准体系的核心,对2008版标准中提出的基本要求进行了修改完善,形成安全通用要求;对云计算、大数据、移动互联、物联网、工业控制等新技术和新应用领域,提出了安全扩展要求。
2、GB/T25070-2019 《信息安全技术 网络等级保护安全设计技术要求》
该标准主要对共性安全保护目标提出通用安全设计技术要求,该标准适用于指导运营使用单位、网络安全企业、网络安全服务机构开展网络安全等级保护安全技术方案的设计和实施,也可作为网络安全职能部门进行监督、检查和指导的依据。
3、GB/T28448-2019 《信息安全技术 网络安全等级保护测评要求》
该标准与等级保护基本要求保持一致,主要明确了测评对象、测评判定规则等内容。该标准为安全测评服务机构、等级保护对象的主管部门及运营使用单位对等级保护对象的安全状况进行安全测评提供指南。信息安全监管职能部门进行网络安全等级保护监督检查时参考使用。
此外,从等保1.0到等保2.0,等级保护发生的主要变化有:
1、意义的变化
由信息安全等级保护→网络安全等级保护,强调网络空间安全。网络安全法第21条、第31条明确规定了网络运营者和关键信息基础设施运营者,都应该按网络安全等级保护制度的要求对系统进行安全保护,以法律的形式确定等级保护工作为国家网络安全的基本国策,并在法律层面确立了其在网络安全领域的基础、核心地位。
2、对象的变化
新等保实现了保护对象的全覆盖,更具普适性与指导性,对象扩大了(包括基础网络),通用要求加扩展要求(工控、云计算、大数据、物联网、移动互联),更适应当前信息化高速发展所面临的新问题新挑战。
3、定级的变化
三级系统的定级新增了一类受侵害客体:对于公民、法人和其他组织的合法权益造成严重影响的应定为三级。
4、测评标准的变化
测评要求的测评单元中增加了【测评对象】项,进一步明确了测评的对象。测评条件更具适应性但是要求更严格(复测评周期、测评控制项的减少、合规基线上调测评75分以上合格,当然这部分要求在部分地区部分行业主管单位现行等保标准也有基于现状及预期效果有弹性要求、例如个别地区卫健委要求医院等保初次等保测评合格分数基线为80分,复测评合格分数基线为85分)、某省金融行业等保测评合格分数基线为90分。四级及以上系统复测评周期延长,改为一年为复测评周期,兼顾考虑了实际等级保护工作所面临的复杂情况,更符合实际工作的场景。
5、定级备案实施方面的变化
等保2.0在定级备案实施也发生了变化,在备案环节原30天内备案的时间缩短为10个工作日。等保2.0的定级,不是自主定级,到公安机关定级备案前要新增两个关键环节,确保定级备案的严谨与准确,第一对于定级对象的等级要经过专家评审,第二要经得主管部门审核通过,才能到公安机关备案确定最终等级保护对象的级别,整体定级更加严格。新建的第三级以上定级对象,通过等级测评后方可投入运行,加强“同步性”原则。
6、其他
从等级保护2.0框架中能够体现“一个中心,三重防护”的思想得以升华,等保2.0标准体系相比现行等保标准的安全体系更注重动态防御(变被动防护为主动防护,变静态防护为动态防护,变单点防护为整体防控,变粗放防护为精准防护),强调事前预防、事中响应、事后审计。等级保护2.0体系中要求应依据国家网络安全等级保护政策和标准,开展组织管理、机制建设、安全规划、安全监测、通报预警、应急处置、态势感知、能力建设、监督检查、技术检测、安全可控、队伍建设、教育培训和经费保障等工作。
等保2.0首次加入了可信计算的相关要求并分级逐级提出可采用可信验证的要求。注意是可采用不是应采用。另外在恶意代码防范方面三级系统要求或采用主动免疫可信验证机制。四级以上恶意代码防范方面要求应采用主动免疫可信验证机制。
等保2.0新增个人信息保护内容,个人信息安全做为网络安全法的内容在等保要求控制项中也独立出现,在当前政务互通、人物互联,个人信息被广泛采集的商业、政务环境下,意指提升个人信息保护的重要性和必要性。
2019年12月1日,网络安全等级保护2.0版国家标准正式生效实施。等级保护标准在1.0标准的基础上,注重主动防御,从被动防御到事前、事中、事后全流程的安全可信、动态感知和全面审计,实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联网和工业控制信息系统等级保护对象的全覆盖。
网络安全已上升到法律层面,保护网络安全是法定义务,拒不履行网络安全保护义务是违法行为。这意味着,IDC云平台要尽快通过等保2.0标准。
ZKEYS紧跟监管政策变化,将监管要求落实到平台的整个体系中,从客户端到企业后端,融合合法合规的市场业务逻辑,使整个业务符合市场监管。 对于最新出台的等保2.0标准,ZKEYS也密切关注,充分学习了等保2.0标准的要求,做到了严格按照要求开发,确保IDC企业在申请等保2.0时,更加贴合要求。
以下资料来源等保测评机构——时代新威官网。如还有更多疑问请官网查看。
等保2.0相比1.0主要有四大方面的变化:
(1) 名称上的变化
名称上由“信息系统安全等级保护”转变为“网络安全等级保护”。
(2) 法律效力不同
《网络安全法》第21条规定“国家实行网络安全等级保护制度,要求网络运营者应当按照网络安全等级保护制度要求,履行安全保护义务”。落实网络安全等级保护制度上升为法律义务。
(3)保护对象有扩展
等保1.0主要是信息系统。而等保2.0将网络基础设施(广电网、电信网、专用通信网络等)、云计算平台/系统、采用移动互联技术的系统、物联网、工业控制系统等纳入到等级保护对象范围中。
(4) 控制措施分类不同
等保1.0按照技术和管理各5个方面的要求进行分类,技术要求分为物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复,管理要求分为安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理。
等保2.0则有很大的变化。技术要求分为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心,管理要求分为安全管理制度、安全管理机构、安全人员管理、安全建设管理和安全运维管理。此外,等保2.0基本要求、测评要求、安全设计技术要求框架保持了一致性,即“一个中心,三重防护”。
(5) 内容进行了扩充
等保1.0有五个规定性动作,包括定级、备案、建设整改、等级测评和监督检查。而等保2.0除了定级、备案、建设整改、等级测评和监督检查之外,增加了风险评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处置等。
网络安全等级保护2.0时代,于2019年12月1日正式开始。
网络安全等级保护制度是我国网络安全领域的基本国策、基本制度,等级保护标准在1.0时代标准的基础上,注重主动防御,从被动防御到事前、事中、事后全流程的安全可信、动态感知和全面审计,实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联网和工业控制信息系统等级保护对象的全覆盖。
网络安全等级保护2.0时代,于2019年12月1日正式开始。
网络安全等级保护制度是我国网络安全领域的基本国策、基本制度,等级保护标准在1.0时代标准的基础上,注重主动防御,从被动防御到事前、事中、事后全流程的安全可信、动态感知和全面审计,实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联网和工业控制信息系统等级保护对象的全覆盖。
等保2.0相比1.0主要有四大方面的变化:
(1) 名称上的变化
名称上由“信息系统安全等级保护”转变为“网络安全等级保护”。
(2) 法律效力不同
《网络安全法》第21条规定“国家实行网络安全等级保护制度,要求网络运营者应当按照网络安全等级保护制度要求,履行安全保护义务”。落实网络安全等级保护制度上升为法律义务。
(3)保护对象有扩展
等保1.0主要是信息系统。而等保2.0将网络基础设施(广电网、电信网、专用通信网络等)、云计算平台/系统、采用移动互联技术的系统、物联网、工业控制系统等纳入到等级保护对象范围中。
(4) 控制措施分类不同
等保1.0按照技术和管理各5个方面的要求进行分类,技术要求分为物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复,管理要求分为安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理。
等保2.0则有很大的变化。技术要求分为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心,管理要求分为安全管理制度、安全管理机构、安全人员管理、安全建设管理和安全运维管理。此外,等保2.0基本要求、测评要求、安全设计技术要求框架保持了一致性,即“一个中心,三重防护”。
(5) 内容进行了扩充
等保1.0有五个规定性动作,包括定级、备案、建设整改、等级测评和监督检查。而等保2.0除了定级、备案、建设整改、等级测评和监督检查之外,增加了风险评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处置等。
资料来源等保测评机构——时代新威官网。
阿里云等保测评服务怎么样呢,三级等保测评和二级等保测评有什么区别呢...
三级信息系统适用于地级市以上的国家机关、企业、事业单位的内部重要信息系统,重要领域、重要部门跨省、跨市或全国(省)联网运营的信息系统,各部委官网等。2、防护能力不同 第二级安全保护能力需达到:能够防护系统免受外来小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难及其他的相应...
什么是等级保护
办理等级保护的原因:1、通过等级保护工作发现单位信息系统存在的安全隐患和不足,进行安全整改之后,提高信息系统的信息安全防护能力,降低系统被各种攻击的风险,维护单位良好的形象。2、等级保护是我国关于信息安全的基本政策,国家法律法规、相关政策制度要求单位开展等级保护工作。如《网络安全等级保护管理办...
区块链安全需要评估哪些点?
区块链安全测评具体包括存储、网络、计算、共识机制、密码学机制、时序机制、个人信息保护、组网机制、智能合约、服务与访问等内容。 二、区块链合规性安全测评 区块链合规性安全测评一般包括“区块链信息服务安全评估”、“网络安全等级保护测评”和“专项资金项目验收测评”三类。 1、区块链信息服务安全评估 区块链信...
重要数据出境前如何安全评估?
网络安全等级保护认证,采取数据分类分级管理、风险评估、监测预警和应急处置等数据安全管理各项基本制度; 1) 数据分级分类:网络安全标准实践指南——数据分类分级指引(征求意见稿) 分类: a)个人信息:一般个人信息;敏感个人信息 b) 公共数据; c) 法人数据; 2)数据出境安全评估 :无论数据处理者的数据...
简述什么是信息安全等级保护?信息系统的安全等级保护具体分为哪几级...
详情请查看视频回答
网络安全自查报告模板6篇
四、网络安全措施落实情况 1、网络安全等级保护定级和备案。依照《网络安全等级保护定级指南》对关键业务系统和数据应有的保护级别,以及应采取的保护措施。 2、自查和风险评估。依照《网络安全法》等相关法律定期展开自查发现风险的影响范围和影响程度。 3、持续改进。不断优化和改进网络安全管理的流程和能力,应对日益严...
网络安全法第二十一条是什么
一、《中华人民共和国网络安全法》第二十一条是什么1、《中华人民共和国网络安全法》第二十一条是国家实行网络安全等级保护制度。网络安全等级保护制度是国家网络安全的基本制度、基本国策,是实现国家对重要网络、信息系统、数据资源实施重点保护的重大措施,是维护国家关键信息基础设施的重要手段。2、法律...
区块链测评认证标准是什么,区块链测评认证标准是什么内容
区块链安全测评具体包括存储、网络、计算、共识机制、密码学机制、时序机制、个人信息保护、组网机制、智能合约、服务与访问等内容。 二、区块链合规性安全测评 区块链合规性安全测评一般包括“区块链信息服务安全评估”、“网络安全等级保护测评”和“专项资金项目验收测评”三类。 1、区块链信息服务安全评估 区块链信...
三级安全等保需要多少钱
北京的参考报价为:二级系统测评费7万左右,三级系统测评费10万左右。我国实行网络安全等级保护制度,等级保护对象分为五个级别,由一到五级别逐渐升高,每一个级别的要求存在差异,级别越高,要求越严格。三级等保指信息系统经过定级、备案这一流程之后,确定为第三级的信息系统,那么就需要做三级等保。在...
医院国家信息安全等级保护制度措施是什么,那位大哥大姐知道请告诉小弟...
等级保护一共分为5级:① 第一级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益;② 第二级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全;③ 第三级,...
苦享五苓: 等级保护,信息安全等级保护.是对信息和信息载体按照重要性等级分级别进行保护的一种工作,对网络中发生的安全事件分等级响应、处置.在中国,信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想...
景泰县15225032266: 什么是网络安全等级保护制度? - ?
苦享五苓: 网络安全等级保护制度源于1994年国务院制定的《计算机信息系统安全保护条例》确立的信息安全等级保护制度,《网络安全法》明确了将等级保护制度上升为法律,规定了网络运营者的义务.网络运营者应当按照网络安全等级保护制度的要求...
景泰县15225032266: 等级保护 测评 如何打分 - ?
苦享五苓: 网络安全等级保护测评由公安部统一测评指导书,指导书中根据测评项的重要性有对应的权重,分别为0.2、0.5、1.0三个级别. 目前等保测评分数分三个级别:60分以下为不符合,60-99分为部分符合,100分为符合,一般满足部分符合即可. 等保2.0开始75分以下为不符合,75-99分部分符合,100分符合. 等保测评总分计算方法及公式 等级保护测评总分计算,首先计算出每个层面的得分 公式: 得分=测评项权重*符合程度; 层面得分=得分总和/权重总和; 不适用项不列入计算,包括权重.
