什么是等保2.0
等保,即信息安全技术网络安全等级保护要求,是我国信息安全
保障的一项基本制度,国家通过制定统一的信息安全等级保护管理规
范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安
全保护。
等保1.0:2007年和2008年颁布实施的 《信息安全等级保护管理
办法》和《信息安全等级保护基本要求》,这是我们通常认为的等保
1.0。
等保2.0:《中华人民共和国网络安全法》第二十一条明确规定
:“国家实行网络安全等级保护制度。”为了贯彻落实《中华人民共
和国网络安全法》,适应云计算、移动互联、物联网、工业控制和大
数据等新技术、新应用情况下网络安全等级保护工作,2019年5月正
式发布《信息安全技术网络安全等级保护基本要求》,正式开启了等
保2.0的时代。一般认为等保2.0是指《信息安全技术网络安全等级保
护基本要求》及其配套标准。
No.2 等保2.0和等保1.0相比有哪些变化?
《信息安全技术网络安全等级保护基本要求》代替GB/T 22239—
2008《信息安全技术信息系统安全等级保护基本要求》,与GB/T 222
39—2008相比,主要变化如下:
标准的名称由“信息安全技术 信息系统安全等级保护基本要求
”变更为“信息安全技术 网络安全等级保护基本要求”。
调整分类为安全物理环境、安全通信网络、安全区域边界、安全
计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理
人员、安全建设管理、安全运维管理。
调整各个级别的安全要求为安全通用要求、云计算安全扩展要求
、移动互联安全扩展要求、物联网安全扩展要求和工业控制系统安全
扩展要求。
取消了原来安全控制点的S、A、G标注,增加一个附录A描述等级
保护对象的定级结果和安全要求之间的关系,说明如何根据定级结果
选择安全要求。
No.3 什么系统需要遵守等保2.0标准?
由计算机或者其他信息终端及相关设备组成的按照一定的规则和
程序对信息进行收集、存储、传输、交换、处理的系统,被称为等级
保护的对象,这些系统都要遵守等保2.0的相关标准。
等级保护对象,主要包括基础信息网络、云计算平台/系统、大
数据应用/平台/资源、物联网、工业控制系统和采用移动互联技术的
系统等。
No.4 什么系统不适用等保2.0标准?
等保2.0的标准并不适用如下:
涉密对象的安全建设和监督管理,涉密对象将另行规定和管理;
第五级等级保护对象,等保2.0即《信息安全技术网络安全等级
保护基本要求》仅规定了网络安全等级保护的级到第四级等级保
护对象的安全通用要求和安全扩展要求。
No.5 谁需要遵守等保2.0标准?
根据“谁主管、谁运营,谁负责”的原则,网络运营者成为等级
保护的责任主体。
企业需要对其建设、掌管、运营的各类系统的等保负责。
Q:我单位有对外门户网站,该门户网站部署于从云服务商处租
赁的虚拟云服务器之上,云服务商对其云服务器已经完成等保定级及
测评等,那我单位是否还需要进行等保等工作?
A:是需要的,云服务所在的数据中心的业务系统由云服务商运
营,云服务商须负责其建设、运营系统的等保工作,而对外门户网站
是贵单位建设、运营的,仍需按规定进行等保工作。
云服务商可以配合客户开展等级测评工作,提供云服务商侧的等
级保护测评材料。
No.6 对于等保2.0中的安全通用要求和安全扩展要求都应适用吗
?
安全通用要求针对共性化保护需求提出,等级保护对象无论以何
种形式出现,必须根据安全保护等级实现相应级别的安全通用要求;
安全扩展要求针对个性化保护需求提出,需要根据安全保护等级和使
用的特定技术或特定的应用场景选择性实现安全扩展要求。
标准针对云计算、移动互联、物联网、工业控制系统提出了安全
扩展要求,除应符合安全通用要求外,还应符合对应的安全扩展要求
。
对于采用其他特殊技术或处于特殊应用场景的等级保护对象,应
在安全风险评估的基础上,针对安全风险采取特殊的安全措施作为补
充。
No.7 如何做等级保护工作?
等保2.0一般有如下5个步骤,定级、备案、建设和整改、等级测
评和检查。
定级,为等级保护对象定级,按照信息的重要程度由低到高分为
5个等级,1级为低、5级为别。如果定了1级,不需要做等级
测评,自助进行保护即可;网络运营者通过自主+专家评审+主管部门
环节定级。
备案,网络运营者需要去运营地区的网安部门办理备案手续。等
级测评,主要是有公安部授权委托的全国100多家测评机构,对信息
系统进行安全测评,测评通过后初级《等级保护测试报告》。