根据《网络安全法》规定“国家实行网络安全等级保护制度”。等级保护作为我国在网络安全方面的基本制度将长期实行下去。等级保护2.0时代,行业单位未落实网络安全等级保护义务将有可能面临被有关部门责令整改、行政处罚、暂停注册、暂停运营的风险。
面对这场严格的“等保2.0”考试,行业单位如何透彻了解等级保护安全保障体系,自我提升从而避免“补考”或处罚呢?
今天,绿盟君就给大家总结了,几个关于等保2.0的“常见考点”,从宏观层面分析网络安全等级保护2.0。
等级保护2.0时代的几个重要标志
- 《网络安全法》全面施行,把网络安全等级保护制度提升到法律保障层面。
- 公安部发布《网络安全等级保护条例(征求意见稿)》,从法规层推进实施国家网络安全等级保护制度。
- 网信办发布《关键信息基础设施安全保护条例(征求意见稿)》,加强国家关键信息基础设施防护。
- 为了解决新技术、新应用的安全问题,等级保护系列标准进行了修订,增加了云计算、移动互联、物联网、工业控制系统方面的安全扩展要求。
等级保护2.0系列标准
等级保护2.0对比1.0的变化
- 等级保护2.0法律地位明显提升,监管对象更加广泛。将重要网络基础设施、重要信息系统、云计算平台、物联网、工控系统、大数据平台、公众服务平台等全部纳入等级保护监管。并将互联网企业纳入等级保护管理。
- 定级矩阵发生了变化(黑色加粗字体是较1.0变化的部分, 1.0是第二级)。
定级要素与等级的关系(定级指南-报批稿)
- 备案机关进行了调整。《根据网络安全等级保护条例(征求意见稿)》要求,第二级以上网络运营者应当在网络的安全保护等级确定后 10 个工作日内,到县级(之前是市级)以上公安机关备案。
- 网络安全等级保护措施进一步完善。将风险评估、安全监测、预警通报、应急演练、自主可控、供应链安全等重点措施纳入等级保护制度实施。
- 等级保护2.0下的安全建设,通过建设“一个中心”管理下的“三重防护”体系。分别对通信网络、区域边界、计算环境进行管理,实施多层隔离和保护措施,构建网络安全纵深防御体系。
等级保护安全技术框架(以第三级为例)
- 等级保护2.0时代,以保护国家关键信息基础设施为重点。关键信息基础设施在等级保护第三级(包括第三级)以上的保护对象中确定。
关键信息基础设施和等级保护的关系
- 等级保护2.0下的安全保障,需要考虑建立可信验证机制,可参考安全等级实施可信验证。
接下来的2.0时代,开展网络安全等级保护成为未来用户合规运营的必经之路。绿盟科技将持续关注等级保护2.0的相关法规标准、市场动态,后续将对云计算、物联网、工业控制系统场景进行深入解读,敬请期待。