随着互联网的快速发展,网络系统日趋复杂。无论是底层的IT基础设施,还是我们每天使用的互联网应用,变革日新月异。与此同时,网络安全日益重要,网络安全等级保护又是落实网络安全的一项基础性重点工作。今天小编为您总结关于等级保护工作的一些知识,方便大家对等级保护工作有个快速的认识和了解。
等保,即网络安全等级保护标准。网络安全等级保护是指对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
1994年,国务院颁布《中华人民共和国计算机信息系统安全保护条例》,规定计算机信息系统实行安全等级保护。
2003年,中央办公厅、国务院办公厅颁发《国家信息化领导小组关于加强信息安全保障工作的意见》,明确指出“实行信息安全等级保护”。
2007年我国信息安全等级保护制度正式实施,2007年和2008年颁布实施的《信息安全等级保护管理办法》和《信息系统安全等级保护基本要求》,被称为等保1.0。通过十余年时间的发展与实践,成为了我国非涉密信息系统网络安全建设的重要标准。
等保1.0普及了等保概念,强化了安全意识,从单个系统到部门、行业,再到上升到国家层面从合规到攻防对抗,整体提升了网络安全保障能力技术并且不断进行人才的积累,这些都对等保2.0提供了有力的支撑。
随着云计算、大数据、物联网、移动互联以及人工智能等新技术的发展,同时风险评估、安全监测和通报预警等工作以及政策、标准、测评、技术和服务等体系不完善,等级保护1.0已无法有效的应对新技术带来的信息安全风险。为了满足新的技术挑战,有效防范和管理各种信息技术风险,提升国家层面的安全水平,由公安部牵头组织开展了信息技术新领域等级保护重点标准申报的工作,由此等级保护正式进入2.0时代。
2016年10月10日,第五届全国信息安全等级保护技术大会召开,公安部网络安全保卫局郭启全总工指出“国家对网络安全等级保护制度提出了新的要求,等级保护制度已进入2.0时代”。
2017年1月至2月,全国信息安全标准化技术委员会发布《网络安全等级保护基本要求》系列标准、《网络安全等级保护测评要求》系列标准等“征求意见稿”。
2017年5月,国家公安部发布《GA/T 1389—2017 网络安全等级保护定级指南》、《GA/T 1390.2—2017 网络安全等级保护基本要求 第 2 部分:云计算安全扩展要求》等4个公共安全行业等级保护标准。6月1日《中华人民共和国网络安全法》正式实施。
2019年,正式颁布《信息安全技术网络安全等级保护基本要求》、《信息安全技术网络安全等级保护测评要求》、《信息安全技术网络安全等级保护安全设计技术要求》等国家标准正式发布,等保2.0标准并于同年12月开始实施。
2020年11月1日《信息安全技术 网络安全等级保护定级指南 GB/T22240-2020》正式实施。
三、等级保护2.0的变化有哪些
首先,先讲讲等保2.0有哪些不变:
五个级别不变
从第一级到第五级依次是:用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级。
规定动作不变
规定动作分别为:定级、备案、建设整改、等级测评、监督检查。
主体职责不变
等级保护的主体职责为:网安对定级对象的备案受理及监督检查职责、第三方测评机构对定级对象的安全评估职责、上级主管单位对所属单位的安全管理职责、运营使用单位对定级对象的等级保护职责。
接下来,讲讲等保2.0时代的几个主要变化:
等级保护上升为法律
《中华人民共和国网络安全法》第21条规定,国家实行网络安全等级保护制度,要求“网络运营者应当按照网络安全等级保护制度要求,履行安全保护义务”;第31条规定,对于国家关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。
等级保护对象将不断扩展
随着云计算、移动互联、大数据、物联网、人工智能等新技术不断涌现,计算机信息系统的概念已经不能涵盖全部,特别是互联网快速发展带来大数据价值的凸显,等级保护对象的外延将不断拓展。
等级保护工作内容将持续扩展
在定级、备案、建设整改、等级测评和监督检查等规定动作基础上,2.0时代风险评估、安全监测、通报预警、案事件调查、数据防护。灾难备份、应急处置、自主可控、供应链安全、效果评价、综治考核等这些与网络安全密切相关的措施都将全部纳入等级保护制度并加以实施。
等级保护体系将进行重大升级
2.0时代,主管部门将继续制定出台一系列政策法规和技术标准,形成运转顺畅的工作机制,在现有体系基础上,建立完善等级保护政策体系、标准体系、测评体系、技术体系、服务体系、关键技术研究体系、教育训练体系等。
等级保护2.0,将根据信息技术发展应用和网络安全态势,不断丰富制度内涵、拓展保护范围、完善监管措施,逐步健全网络安全等级保护制度政策、标准和支撑体系。
网络安全等级保护制度是我国网络安全领域的基本国策、基本制度,等级保护标准2.0在1.0标准的基础上,更注重主动防御,从被动防御到事前、事中、事后全流程的安全可信、动态感知和全面审计,实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联网和工业控制信息系统等级保护对象的全覆盖。
供稿|项目建设中心
(文中部分资料转自中国网络安全等级保护网)
