等保云课堂（第3期）— 浅谈等保2.0的变与不变

等保2.0

等级保护制度是我国网络安全领域的一项基本制度。随着《网络安全法》出台后，等级保护制度进入了等保2.0时代，等保2.0适用的范围更广，更加注重全方位主动防御、动态防御、整体防控和精准防护，除了基本要求外，还增加了对云计算、移动互联、物联网、工业控制和大数据等对象全覆盖。等保2.0标准的发布，对加强中国网络安全保障工作，提升网络安全保护能力具有重要意义。

 

相较于等保1.0

等保2.0有哪些变与不变？

↓↓↓

 

等保2.0 的不变

​1.五个级别不变

第一级到第五级依次是：自主保护级、指导保护级、监督保护级、强制保护级、专控保护级。

 

2.规定动作不变

等级保护工作分五个阶段，分别为：系统定级 、系统备案、建设整改、等级测评、监督检查。

 

3.主体职责不变

等级保护的主体职责为：网安对定级对象的备案受理及监督检查职责、第三方测评机构对定级对象的安全评估职责、上级主管单位对所属单位的安全管理职责、运营使用单位对定级对象的等级保护职责。

 

等保2.0发生的变化

01  名称变化

为适应网络安全法，配合落实网络安全等级保护制度的名称由原来的《信息系统安全等级保护基本要求》改为《网络安全等级保护基本要求》。

 

02  从条例法规提升到法律层面

等保2.0相比较等保1.0发生了质变，从条例法规提升到法律层面，《中华人民共和国网络安全法》规定若相关单位不严格履行安全保护义务，将面临相应的处罚。

 

03  等级保护对象的变化

等级保护对象由原来的信息系统调整为基础信息网络、信息系统（含采用移动互联技术的系统）、云计算平台 / 系统、大数据应用 / 平台 / 资源、物联网和工业控制系统等。

 

04  安全体系的变化

从等保1.0被动防御的安全体系向事前防御、事中响应、事后审计的动态保障体系转变。

安全管理中心要求在系统管理、安全管理、审计管理三个方面实现集中管控，从被动防护转变到主动防护，从静态防护转变到动态防护，从单点防护转变到整体防护，从粗放防护转变到精准防护。

三重防护要求企业通过安全设备和技术手段实现身份鉴别、访问控制、入侵防范、数据完整性、保密性、个人信息保护等安全防护措施，实现平台的全方位安全防护。

 

05  测评方法更新

采用了“安全通用要求+安全扩展要求”的测评方法。对于新兴的五大行业：云计算，大数据，物联网，移动互联和工业控制执行具有该行业特色的测评手段。等保2.0在测评项也新增四类要求，入侵防范、恶意代码防范、安全审计、集中管控。

 

06  测评范围扩大

2.0不只局限于应用生产环境的安全，还对架构安全、代码审计和上线前安全检测有了要求。从漏洞源头进行防护，因此对于软件开发商的软件研发过程也提出了更高的要求。

 

07  定级的调整与优化

在定级原则上，《等保条例》放弃了《管理办法》中的“自主定级、自主保护”原则，采取了以国家行政机关持续监督的“明确等级、增强保护、常态监督”方式。更重要是，除上述系统，还做了对关键信息基础设施，定级原则上不低于三级的规定。

 

08  等保2.0实施对企业的影响

根据谁主管谁负责、谁运营谁负责、谁使用谁负责的原则，网络运营者成为等级保护的责任主体，如何快速高效地通过等级保护测评成为企业开展业务前必须思考的问题。

 

下期，我们将分享什么内容呢？

敬请期待^_^