2019年,等保2.0相關的《信息安全技術 網絡安全等級保護基本要求》、《信息安全技術 網絡安全等級保護測評要求》、《信息安全技術 網絡安全等級保護安全設計技術要求》等國家標準正式發布,並於2019年12月1日開始實施,我國也正式邁入等保2.0時代。
下面是等保2.0三大核心新標準的介紹:
1、GB/T 22239-2019 《信息安全技術 網絡安全等級保護基本要求》
該項標準是等級保護標準體系的核心,對2008版標準中提出的基本要求進行了修改完善,形成安全通用要求;對雲計算、大數據、移動互聯、物聯網、工業控制等新技術和新應用領域,提出了安全擴展要求。
2、GB/T25070-2019 《信息安全技術 網絡等級保護安全設計技術要求》
該標準主要對***性安全保護目標提出通用安全設計技術要求,該標準適用於指導運營使用單位、網絡安全企業、網絡安全服務機構開展網絡安全等級保護安全技術方案的設計和實施,也可作為網絡安全職能部門進行監督、檢查和指導的依據。
3、GB/T28448-2019 《信息安全技術 網絡安全等級保護測評要求》
該標準與等級保護基本要求保持壹致,主要明確了測評對象、測評判定規則等內容。該標準為安全測評服務機構、等級保護對象的主管部門及運營使用單位對等級保護對象的安全狀況進行安全測評提供指南。信息安全監管職能部門進行網絡安全等級保護監督檢查時參考使用。
此外,從等保1.0到等保2.0,等級保護發生的主要變化有:
1、意義的變化
由信息安全等級保護→網絡安全等級保護,強調網絡空間安全。網絡安全法第21條、第31條明確規定了網絡運營者和關鍵信息基礎設施運營者,都應該按網絡安全等級保護制度的要求對系統進行安全保護,以法律的形式確定等級保護工作為國家網絡安全的基本國策,並在法律層面確立了其在網絡安全領域的基礎、核心地位。
2、對象的變化
新等保實現了保護對象的全覆蓋,更具普適性與指導性,對象擴大了(包括基礎網絡),通用要求加擴展要求(工控、雲計算、大數據、物聯網、移動互聯),更適應當前信息化高速發展所面臨的新問題新挑戰。
3、定級的變化
三級系統的定級新增了壹類受侵害客體:對於公民、法人和其他組織的合法權益造成嚴重影響的應定為三級。
4、測評標準的變化
測評要求的測評單元中增加了測評對象項,進壹步明確了測評的對象。測評條件更具適應性但是要求更嚴格(復測評周期、測評控制項的減少、合規基線上調測評75分以上合格,當然這部分要求在部分地區部分行業主管單位現行等保標準也有基於現狀及預期效果有彈性要求、例如個別地區衛健委要求醫院等保初次等保測評合格分數基線為80分,復測評合格分數基線為85分)、某省金融行業等保測評合格分數基線為90分。四級及以上系統復測評周期延長,改為壹年為復測評周期,兼顧考慮了實際等級保護工作所面臨的復雜情況,更符合實際工作的場景。
5、定級備案實施方面的變化
等保2.0在定級備案實施也發生了變化,在備案環節原30天內備案的時間縮短為10個工作日。等保2.0的定級,不是自主定級,到公安機關定級備案前要新增兩個關鍵環節,確保定級備案的嚴謹與準確,第壹對於定級對象的等級要經過專家評審,第二要經得主管部門審核通過,才能到公安機關備案確定最終等級保護對象的級別,整體定級更加嚴格。新建的第三級以上定級對象,通過等級測評後方可投入運行,加強“同步性”原則。
6、其他
從等級保護2.0框架中能夠體現“壹個中心,三重防護”的思想得以升華,等保2.0標準體系相比現行等保標準的安全體系更註重動態防禦(變被動防護為主動防護,變靜態防護為動態防護,變單點防護為整體防控,變粗放防護為精準防護),強調事前預防、事中響應、事後審計。等級保護2.0體系中要求應依據國家網絡安全等級保護政策和標準,開展組織管理、機制建設、安全規劃、安全監測、通報預警、應急處置、態勢感知、能力建設、監督檢查、技術檢測、安全可控、隊伍建設、教育培訓和經費保障等工作。
等保2.0首次加入了可信計算的相關要求並分級逐級提出可采用可信驗證的要求。註意是可采用不是應采用。另外在惡意代碼防範方面三級系統要求或采用主動免疫可信驗證機制。四級以上惡意代碼防範方面要求應采用主動免疫可信驗證機制。
等保2.0新增個人信息保護內容,個人信息安全做為網絡安全法的內容在等保要求控制項中也獨立出現,在當前政務互通、人物互聯,個人信息被廣泛采集的商業、政務環境下,意指提升個人信息保護的重要性和必要性。