等保2.0的出台有着划时代的意义:
一方面,等保2.0顺应了网络安全形势的变化和整个网络安全大环境技术、任务的要求,弥补了等保1.0在实际开展过程中的不足,推动了整个网络安全等级保护制度的落实,进一步加强了整体的安全防护;另一方面,落实等保2.0能发现相关机构、单位、企业的网络和信息系统与国家安全标准之间存在的差距,找出系统安全隐患与不足,降低系统被攻击的风险,更有利于明确网络安全责任,加强企业网络安全管理。
等保2.0的重要变化主要体现在以下五点:
1、等保2.0的核心法律依据的效力位阶提高
等保2.0的核心法律依据目前是处于征求意见状态、即将出台的《网络安全等级保护条例》(以下简称《等保条例》)以及已于2017年6月生效实施的《中华人民共和国网络安全法》(以下简称《网络安全法》),而《等保条例》主要是依据《网络安全法》《保守国家秘密法》制定的。
《管理办法》为部门规范文件,主要法律依据是《计算机信息系统安全等保条例》,属于行政法规;《等保条例》为行政法规,主要法律依据是《网络安全法》、《保守国家秘密法》,属于法律。法律效力位阶按照宪法、法律、行政法规、地方性法规、规章依次递减。可见,《等保条例》的自身法律效力和法律依据的效力位阶相比《管理办法》都更高。
2、定级对象涉及范围扩大
《网络安全法》出台后,等保2.0将原来标准中的“信息安全等级保护”的提法升级成了“网络安全等级保护”,由此可见等保2.0定级对象涉及的范围扩大了。
在2018年6月27日公安部官网发表的《网络安全等级保护条例(征求意见稿)》中明确,网络安全等级保护工作的重点保护对象为涉及国家安全、国计民生、社会公共利益的网络的基础设施安全、运行安全和数据安全。等保1.0定级的是信息系统,等保2.0定级的对象是云计算平台、大数据平台、基础信息网络、工业控制系统、物联网、使用移动互联技术的网络等多个系统平台。比如云平台和大数据平台这种承载数据平台必须定级,定级的等级不能低于上面承载的系统。
3、保障思路由“被动保障”转变为“主动保障”
相较于等保1.0,等保2.0具有更加完整的体系思路,包括事前、事中、事后的防护,一旦出现问题还能进行事后的溯源分析。在保障思路上,等保制度由1.0防御审计的被动保障向2.0的安全检测、感知预警、动态防护、应急响应的主动保障体系转变。
4、等保测评周期调整,测评分数基准提高
关于等保测评方面,也有相应的变化,例如:第三级系统每年一次、第四级系统每半年一次的测评周期调整为第三级以上系统每年一次;测评结果的测评分数60分以上基本符合达标调整为测评分数75以上基本符合达标。
5、控制点基本持平,等保2.0新增部分重要要求项
相较于等保1.0,等保2.0控制点基本持平。但是在等保2.0征求意见稿通用要求中新增了部分重要要求项,强调了入侵防范、安全审计、恶意代码防范、集中管控等方面的要求。
更多内容尽在心周企服!!