首页 > 新闻动态> 网络安全等级保护2.0的新特点和新要求
网络安全等级保护2.0的新特点和新要求
2023-03-27


网络安全等级保护标准,是我国实行网络安全等级保护制度的重要依据。它根据信息系统的重要程度和安全风险,将信息系统按照五个等级进行划分,并分别实施不同的安全保护措施,以保障信息系统的安全运行和数据的完整性、可用性、机密性。等保2.0是对等保1.0的修订和完善,以适应新技术、新应用、新业态、新模式的发展,以及网络安全形势的变化。相较于等保1.0,等保2.0发生了以下主要变化:名称变化、定级对象变化、安全要求变化、控制措施分类结构变化、内容变化。做等级保护有以下作用:保障国家信息资源和公民个人信息的合法权益,维护国家信息资源和公民个人信息的完整性、可用性和机密性;规范网络运营者的网络安全责任和义务,提高网络运营者的网络安全意识和能力;促进网络技术和服务的创新和发展,提升我国网络技术和服务的国际竞争力;增强社会对网络技术和服务的信任和满意度,推动我国网络社会治理水平。


等级保护2.0和1.0的区别

等级保护,即网络安全等级保护标准,是我国实行网络安全等级保护制度的重要依据。它根据信息系统的重要程度和安全风险,将信息系统按照五个等级进行划分,并分别实施不同的安全保护措施,以保障信息系统的安全运行和数据的完整性、可用性、机密性。

等保1.0是2007年和2008年颁布实施的《信息安全等级保护管理办法》和《信息安全等级保护基本要求》。这部法规是我国第一次对信息系统进行等级划分和安全要求的规范,为保障我国信息安全打下了坚实的基础。

等保2.0是2019年5月10日正式发布并于2019年12月1日开始实施的《信息安全技术网络安全等级保护基本要求》。这部法规是对等保1.0的修订和完善。等保2.0不仅涵盖了传统的信息系统,还包括了云计算平台、大数据平台、物联网系统、工业控制系统、采用移动互联技术的网络等新型网络系统。等保2.0还针对新技术、新应用领域的个性安全保护需求提出了安全扩展要求,形成了新的网络安全等级保护基本要求标准。等保2.0还将进一步提升关键信息基础设施安全,增加了风险评估、安全监测、通报预警、态势感知等新的安全要求。

相较于等保1.0,等保2.0发生了以下主要变化:

1. 名称变化。等保2.0将原来的标准《信息安全技术信息系统安全等级保护基本要求》改为《信息安全技术网络安全等级保护基本要求》,与《中华人民共和国网络安全法》保持一致。

2. 定级对象变化。等保1.0的定级对象是信息系统,现在2.0更为广泛,包含:信息系统、基础信息网络、云计算平台、大数据平台、物联网系统、工业控制系统、采用移动互联技术的网络等。这样可以涵盖更多的网络安全保护对象,适应新技术的发展和应用。

3. 安全要求变化。等保2.0由一个单独的基本要求演变为通用安全要求+新技术安全扩展要求,其中安全通用要求是不管等级保护对象形态如何都必须满足的要求,针对云计算、移动互联、物联网和工业控制系统提出了特殊要求,称为安全扩展要求。这样可以针对不同的网络安全场景提出更具体和有效的安全措施。

4. 控制措施分类结构变化。等保2.0依旧保留技术和管理两个维度,但在技术上,由物理安全、网络安全、主机安全、应用安全、数据安全,变更为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心;在管理上,结构上没有太大的变化,从安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理,调整为安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。这样可以更好地体现网络安全的整体性和系统性。

5. 内容变化。从等保1.0的定级、备案、建设整改、等级测评和监督检查五个规定动作,变更为五个规定动作+新的安全要求 (增加了风险评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处置等)。这样可以更好地实现网络安全的主动防御和及时响应。

等保2.0是我国信息安全保障的基本制度,是国家对信息系统和网络系统进行分级分类管理的重要手段,也是网络运营者履行法定义务和社会责任的重要依据。根据谁主管谁负责、谁运营谁负责、谁使用谁负责的原则,网络运营者成为等级保护的责任主体,应当按照网络安全等级保护制度的要求,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。

为了适应等保2.0时代的网络安全形势和挑战,各行各业的网络运营者都需要加强自身的网络安全防护能力,按照国家标准进行定级、备案、建设整改、测评和监督检查等工作。同时,也需要借助专业的网络安全服务机构和产品,提高网络安全管理水平和效率,确保符合法律法规和国家标准的要求。只有这样,才能在享受数字化发展带来的便利和效益的同时,有效防范和应对网络安全风险和威胁。


为什么要做等级保护

等级保护是我国实行网络安全等级保护制度的重要依据,它有以下作用:

1. 保障国家信息资源和公民个人信息的合法权益,维护国家信息资源和公民个人信息的完整性、可用性和机密性。根据《中华人民共和国网络安全法》,国家实行网络空间分级分类保护制度,对不同等级的网络空间采取不同级别的保护措施,防范和抵御各种网络安全风险和威胁,保护国家安全、社会稳定、公共利益、公民合法权益。做等级保护就是遵守国家法律法规,履行网络安全责任和义务的表现。

2. 规范网络运营者的网络安全责任和义务,提高网络运营者的网络安全意识和能力。根据《中华人民共和国网络安全法》,网络运营者应当按照网络安全等级保护制度的要求,采取技术措施和其他必要措施,保障网络安全、稳定运行,防止网络数据泄露、毁损、丢失,防止网络服务功能被恶意中断、破坏、篡改。做等级保护就是提升网络运营者的网络安全水平,减少网络安全风险和损失的手段。

3. 促进网络技术和服务的创新和发展,提升我国网络技术和服务的国际竞争力。根据《中华人民共和国网络安全法》,国家鼓励和支持企事业单位、社会组织、公民参与网络安全保护,开展网络安全研究、培训、宣传教育等活动,推动网络安全技术创新,提高自主创新能力。做等级保护就是促进我国网络技术和服务与国际标准接轨,增强我国在国际上的话语权和影响力的途径。

4. 增强社会对网络技术和服务的信任和满意度,推动我国网络社会治理水平。根据《中华人民共和国网络安全法》,国家建立健全社会共治机制,鼓励有关组织和个人依法参与维护网络安全,发挥行业组织、专业机构、技术社区等在制定标准规范、开展评估认证、提供咨询服务等方面的作用。做等级保护就是增进社会对网络技术和服务的信赖度和满意度,提高我国网络社会治理水平的方式。