5月13日下午,国家标准新闻发布会在市场监管总局马甸办公区新闻发布厅召开,网络安全等级保护制度2.0标准正式发布,实施时间为2019年12月1日。
2017年,网络安全法实施,强制要求等级保护工作,强调关键基础设施三同步。根据网络安全法的规定,等级保护是我国信息安全保障的基本制度。
《网络安全法》第二十一条规定,国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列全保护义务:保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
2007年和2008年颁布实施的《信息安全等级保护管理办法》和《信息安全等级保护基本要求》被称为“等保1.0”。但是“等保1.0”不仅缺乏对一些新技术和新应用的等级保护规范,比如云计算、大数据和物联网等,而且风险评估、安全监测和通报预警等工作以及政策、标准、测评、技术和服务等体系不完善。
为适应新技术的发展,解决云计算、物联网、移动互联和工控领域信息系统的等级保护工作的需要,由公安部牵头组织开展了信息技术新领域等级保护重点标准申报国家标准的工作,等级保护正式进入2.0时代。
据悉,网络安全等级保护技术1.0版本主要强调物理主机、应用、数据、传输,2.0版本将在云计算、大数据、物联网、工业控制等新技术新应用方面有涉及。
从等保1.0到等保2.0,变化主要体现在五个方面:
1. 体系框架和保障思路的变化;
2. 定级对象的变化
3. 测评的变化
4. 等保要求的组合变化
5. 控制点和要求项的变化
等保2.0充分体现了“一个中心三重防御“的思想,一个中心指“安全管理中心”,三重防御指“安全计算环境、安全区域边界、安全网络通信”,同时等保2.0强化可信计算安全技术要求的使用。
它的发布,不仅对加强中国网络安全保障工作,提升网络安全保护能力具有重要意义,而且整个信息安全行业需求将在2019年迎来重要的边际改善。
