有法可依,《网络安全法》发布以后,等级保护相当于是《网络安全法》的一个实践,名称也由《信息安全等级保护》变更为《网络安全等级保护》。等保的内容更详尽,更具可操作性,可直接用于指导企事业单位的信息安全建设。
网络安全等级保护制度 2.0(简称等保 2.0)国家标准将在 2019 年 12 月 1 日起正式实施,核心标准包括《信息安全技术 网络安全等级保护基本要求》、《信息安全技术 网络安全等级保护测评要求》、《信息安全技术 网络安全等级保护安全设计技术要求》三大核心标准文件。
《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求 》
《GB/T 25070-2019 信息安全技术 网络安全等级保护安全设计技术要求》
《GB/T 28448-2019 信息安全技术 网络安全等级保护测评要求》
所有的信息系统,只要对外的,就要做定级备案,对于重要系统同时还要定为关键信息基础设施,在等保之上还要满足《关键信息基础设施安全保护条例》的要求。而等保中新增的个人信息保护中,也要满足《互联网个人信息安全保护指引》的要求,对于漏洞也应参考《网络安全漏洞管理规定》要求。
国家网络安全工作规划是:一个中心,三重防护。对应到等 2 中即安全管理中心、安全通信网络、安全区域边界、安全计算环境(物理环境安全属于独立科目),此外网安法中要求系统建设必须做到三同步,即同步规划、同步建设、同步使用。
网络安全三同步
《网安法》第三十三条规定:
建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用。
同步规划
在业务规划的阶段,应当同步纳入安全要求,引入安全措施。如同步建立信息资产管理情况检查机制,指定专人负责信息资产管理,对信息资产进行统一编号、统一标识、 统一发放,并及时记录信息资产状态和使用情况等安全保障措施。
同步建设
在项目建设阶段,通过合同条款落实设备供应商、厂商和其他合作方的责任,保证相关安全技术措施的顺利准时建设。保证项目上线时,安全措施的验收和工程验收同步,外包开发的系统需要进行上线前安全检测,确保只有符合安全要求的系统才能上线。
同步使用
安全验收后的日常运营维护中,应当保持系统处于持续安全防护水平,且运营者每年对关键信息基础设施需要进行一次安全检测评估。
本文主要针对 “一个中心,三重防护” 中的“中心”,聊聊这个概念以及相应的要求。
控制点对比:
要求项对比:
等保 2.0 标准中保护对象得到扩展,由单一信息系统扩展到整个网络空间,将网络基础设施、重要信息系统、大数据中心、云计算平台、物联网、工控系统、公众服务平台等全部纳入等级保护监管;内容进一步完善,除定级、备案、整改、测评和监督检查外,增加了风险评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处置、自主可控、供应链安全、效果评价、综合考核等内容,充分体现了变被动防御为主动防御的核心思想。
美国关键信息基础设施保护,CIP/CIIP,等保原型
若有收获,就点个赞吧
0 人点赞
