欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

等保2.0将至,解读新标准的变化

来源:本站整理 作者:佚名 时间:2019-04-29 TAG: 我要投稿

中央网络安全和信息化领导小组提出:“没有网络安全就没有国家安全,没有信息化就没有现代化,中国要由网络大国走向网络强国。”首先,我们来看一下近几年来国家层面网络安全工作的开展情况:
2014年2月27日,中共中央网络安全和信息化领导小组成立
2014年,开始每年举办网络安全宣传周
2015年6月-2016年10月,审议网络安全法草案
2017年6月1日,网络安全法实施,强制要求等级保护工作,强调关键基础设施三同步
2018年3月23日,公安部发布《网络安全等级保护测评机构管理办法》
2018年6月27日,公安部公布《网络安全等级保护条例(征求意见稿)》
2018年11月30日,公安部网络安全保卫局公布《互联网个人信息安全保护指引》(征求意见稿)
2019年,预计实施等保2.0
本文尝试从《网络安全法》的角度介绍关键信息基础设施和等级保护安全工作的核心,同时对等保 2.0通用安全部分的变化进行分析和解读,旨在让大家了解等级保护制度的重要性和新标准的变化。

等级保护工作的核心
《网络安全法》明确等级保护工作的核心主要包括:
关键信息基础设施的定义;
关键信息基础设施的安全保护义务(第三十四条 运营者设置专门机构和负责人、网络安全教育培训、容灾备份、应急预案和演练等);
敏感信息保护(第三十七条 境内收集产生的个人信息和重要数据应当在境内存储。确需向境外提供的,应进行安全评估);
风险评估(第三十八条 运营者每年至少组织一次安全风险检测评估,并评估情况和改进措施报相关部门)。
关键信息基础设施分为三类:

《网络安全法》规定,等级保护是我国信息安全保障的基本制度。《网络安全法》第二十一条规定,国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列全保护义务:保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
等级保护范围内重要信息系统所涵盖的行业包括:能源、金融、交通、水利、医疗卫生、环境保护、工业制造、市政、电信与互联网、广播电视及政府部门。
等保 VS ISO27001
国家对网络安全越来越重视,企业自身也开始关注安全问题。在这样的环境下,我觉得大家要转换下思维,不要再把等保当做一种应付上级检查的被动性工作、不要因为开展业务不做不行才去搞、不要觉得反正又没出事,不用担心。现在的现状是这样,一提等保就觉得Low,就是应付检查的……一提ISO27001就觉得高大上,感觉很先进,而且是完整的体系。
但实际上真的如此吗?下面,我来给大家对比一下。

这么一看是不是其实也没差多少呢?再举个细节的例子:

左边是27001附录A的控制措施,右边是等保2.0中三级系统物理与环境安全位置和访问控制的要求项。其实差不多,只是表述不同。27001讲的是PDCA,是一个不断循环的工作。等保讲的是“定级-备案-测评-整改-监督”,同样是一个循环的过程。
我的态度一直如此。为了做好安全工作,体系和标准只是指导文件和指南,落地要结合实际,做到什么程度需要根据企业环境而定,不一定要所有都做,也不是为了应付做做样子。安全工作技术上有难度,管理上难度更大,是一个不断循环和改进的过程,因此等保是嵌入到安全建设中的一项工作,而不是为了过等保去搞安全。
等保2.0的变化
去年比较火的大概是《GDPR》,今年比较火的好像是《等保 2.0》,小道消息可能4月有望发布,不过现在已是4月底了,可能要推迟。广东的兄弟说那边已经确定了,7月正式实施,估计应该年内会正式出台。
等级保护制度系统分为五个级别,五级系统属国家级、国防类的系统(核电站、军用通信系统),所以我们很难接触的到,标准中也没有五级系统的检查要求。四级系统量级较大,比如支付宝、银行总行系统、国家电网系统,也是我们很少会接触到的(这里是指去做等级测评),因此我们通常说等保一般是指三级和二级系统(因为一级系统要求简单,不作为重点监管对象)。本文重点放在等保2.0中三级系统要求的变化。
测评分数变化
以前的等保测评分数及格线是60分,近几年个别省份将分数线提高到70分,据传闻互金类系统要90分。同样是听说,等保2.0新的及格线是75以上。
结构的变化,先看新标准安全通用要求和旧版的变化:

控制大项从原来的10项,改为8项,其实就是合并了数据和应用、机构和人员。
要求项的变化

这其中要求项的细节变化可以对比新旧标准自己看一下,就不详细展开来说了。
PS:这里有一点要提下,就是等保中新增了个人信息保护的要求,也是因为近来越来越多的安全事件以及欧盟保护条例的出台,国内也开始重视个人隐私问题了。
不过这只是通用要求,新标准分成了5个部分(也就是5个标准)分别是:
《网络安全等级保护基本要求第1部分安全通用要求》
《网络安全等级保护基本要求第2部分云计算安全扩展要求》

[1] [2] [3] [4]  下一页

【声明】:黑吧安全网(http://www.ylxj.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载