三、等保2.0變化的幾個關(guān)鍵點

時間：2022-03-25 13:12:01 | 來源：行業(yè)動態(tài)

時間：2022-03-25 13:12:01 來源：行業(yè)動態(tài)

首先是意義的變化：由信息安全等級保護(hù)網(wǎng)絡(luò)安全等級保護(hù)，強(qiáng)調(diào)網(wǎng)絡(luò)空間安全。網(wǎng)絡(luò)安全法第21條、第31條明確規(guī)定了網(wǎng)絡(luò)運(yùn)營者和關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者，都應(yīng)該按網(wǎng)絡(luò)安全等級保護(hù)制度的要求對系統(tǒng)進(jìn)行安全保護(hù)，以法律的形式確定等級保護(hù)工作為國家網(wǎng)絡(luò)安全的基本國策，并在法律層面確立了其在網(wǎng)絡(luò)安全領(lǐng)域的基礎(chǔ)、核心地位。



第二，是對象的變化。新等保實現(xiàn)了保護(hù)對象的全覆蓋，更具普適性與指導(dǎo)性，對象擴(kuò)大了（包括基礎(chǔ)網(wǎng)絡(luò)），通用要求加擴(kuò)展要求（工控、云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動互聯(lián)），更適應(yīng)當(dāng)前信息化高速發(fā)展所面臨的新問題新挑戰(zhàn)。

第三，定級上的變化，三級系統(tǒng)的定級新增了一類受侵害客體：對于公民、法人和其他組織的合法權(quán)益造成嚴(yán)重影響的應(yīng)定為三級。



第四，是測評標(biāo)準(zhǔn)的變化。測評要求的【測評單元】中增加了【測評對象】項，進(jìn)一步明確了測評的對象。測評條件更具適應(yīng)性但是要求更嚴(yán)格（復(fù)測評周期、測評控制項的減少、合規(guī)基線上調(diào)測評75分以上合格，當(dāng)然這部分要求在部分地區(qū)部分行業(yè)主管單位現(xiàn)行等保標(biāo)準(zhǔn)也有基于現(xiàn)狀及預(yù)期效果有彈性要求、例如個別地區(qū)衛(wèi)健委要求醫(yī)院等保初次等保測評合格分?jǐn)?shù)基線為80分，復(fù)測評合格分?jǐn)?shù)基線為85分）、某省金融行業(yè)等保測評合格分?jǐn)?shù)基線為90分。四級及以上系統(tǒng)復(fù)測評周期延長，改為一年為復(fù)測評周期，兼顧考慮了實際等級保護(hù)工作的所面臨的復(fù)雜情況，更符合實際工作的場景。

等保2.0在定級備案實施也發(fā)生了變化，在備案環(huán)節(jié)原30天內(nèi)備案的時間縮短為10個工作日。等保2.0的定級，不是自主定級，到公安機(jī)關(guān)定級備案前要新增兩個關(guān)鍵環(huán)節(jié)，確保定級備案的嚴(yán)謹(jǐn)與準(zhǔn)確，第一對于定級對象的等級要經(jīng)過專家評審，第二要經(jīng)得主管部門審核通過，才能到公安機(jī)關(guān)備案確定最終等級保護(hù)對象的級別，整體定級更加嚴(yán)格。新建的第三級以上定級對象，通過等級測評后方可投入運(yùn)行，加強(qiáng)同步性原則。



從等級保護(hù)2.0框架中能夠體現(xiàn)一個中心，三重防護(hù)的思想得以升華，等保2.0標(biāo)準(zhǔn)體系相比現(xiàn)行等保標(biāo)準(zhǔn)的安全體系更注重動態(tài)防御（變被動防護(hù)為主動防護(hù)，變靜態(tài)防護(hù)為動態(tài)防護(hù)，變單點防護(hù)為整體防控，變粗放防護(hù)為精準(zhǔn)防護(hù)），強(qiáng)調(diào)事前預(yù)防、事中響應(yīng)、事后審計。等級保護(hù)2.0體系中要求應(yīng)依據(jù)國家網(wǎng)絡(luò)安全等級保護(hù)政策和標(biāo)準(zhǔn)，開展組織管理、機(jī)制建設(shè)、安全規(guī)劃、安全監(jiān)測、通報預(yù)警、應(yīng)急處置、態(tài)勢感知、能力建設(shè)、監(jiān)督檢查、技術(shù)檢測、安全可控、隊伍建設(shè)、教育培訓(xùn)和經(jīng)費(fèi)保障等工作。

等保2.0首次加入了可信計算的相關(guān)要求并分級逐級提出可采用可信驗證的要求。注意是可采用不是應(yīng)采用。另外在惡意代碼防范方面三級系統(tǒng)要求或采用主動免疫可信驗證機(jī)制。四級以上惡意代碼防范方面要求應(yīng)采用主動免疫可信驗證機(jī)制。



等保2.0新增個人信息保護(hù)內(nèi)容，個人信息安全做為網(wǎng)絡(luò)安全法的內(nèi)容在等保要求控制項中也獨(dú)立出現(xiàn)，在當(dāng)前政務(wù)互通、人物互聯(lián)，個人信息被廣泛采集的商業(yè)、政務(wù)環(huán)境下，意指提升個人信息保護(hù)的重要性和必要性。