搜索
搜索

伙伴

星云為友 眾行致遠

全部分類

一字千金!16句話讓你讀懂等保2.0

  • 分類:新聞動態
  • 作者:
  • 來源:
  • 發布時間:2019-12-16 15:26
  • 訪問量:

【概要描述】

一字千金!16句話讓你讀懂等保2.0

【概要描述】

  • 分類:新聞動態
  • 作者:
  • 來源:
  • 發布時間:2019-12-16 15:26
  • 訪問量:
詳情
 
等保2.0用戶最關心的十六問
 
5月13日,網絡安全等級保護技術2.0版本(簡稱等保2.0)正式公開發布,為落實信息系統安全工作提供了有力方向和依據。
 
那么,等保2.0究竟發生了哪些變化?等保2.0時代,企業如何做好安全體系建設?就廣大合作伙伴關心的一系列問題,我們走訪了集團公司前場專業安全服務管理中心負責人卜祥正,江湖人稱“飄哥”,和大家一起聊聊關于等保2.0用戶最關心的一系列問題。
 
 
一、 什么是等級保護2.0?
 
答:網絡安全等級保護是指對國家重要信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統分等級實行安全保護,對信息系統中使用的信息安全產品實行按等級管理,對信息系統中發生的信息安全事件分等級響應、處置。
 
一句話概括:兩個對象,三重管理。
 
 
二、 為什么要開展等級保護2.0工作?
 
答:主要有以下幾個原因:
 
1)法律法規要求
 
2017年6月1日,《中華人民共和國網絡安全法》的正式實施,將網絡安全等級保護由基本制度、基本國策,上升為法律。
 
 
一句話概括:網絡運營者不履行落實等級保護的義務就是違法!
 
2)行業主管單位要求
 
在金融、電力、廣電、醫療、教育等行業,主管單位明確要求從業機構的信息系統要開展等級保護工作。
 
一句話概括:不做等保,沒法向行業主管單位匯報本單位網絡安全工作。
 
3)企業系統安全需求
 
落實等保2.0最重要的原因是:通過開展等級保護工作,可發現系統與國家安全標準之間存在的差距,查明系統內部存在的安全隱患與不足之處,通過安全整改,提升系統的安全防護能力,降低被攻擊的風險。
 
一句話概括:等保是網絡安全抓手,幫助企業發現和降低安全風險。
 
 
三、 等級保護與網絡安全法、關鍵信息基礎設施保護、風險評估的關系?
 
 
一句話概括:網絡安全法奠定了等級保護的法律地位,等級保護是關鍵信息基礎設施保護的基礎,風險評估是等級保護的出發點。
 
 
四、 從防護思路的角度來說,等保2.0最核心的變化是什么?
 
答:等保2.0采取“一個中心、三重防御”的理念,一個中心指“安全管理中心”,三重防御指“安全計算環境、安全區域邊界、安全通信網絡”;等保2.0的核心變化是從等保1.0的被動防御向等保2.0的事前預防、事中響應、事后審計的動態、主動保障體系轉變,注重全方位主動防御、安全可信、動態感知和全面審計。
 
一句話概括:等保2.0更強調主動防御。
 
 
五、 等保2.0要求下,用戶應重點關注哪些工作?
 
答:主要關注以下三點:
 
(1)明確等級保護對象:通信網絡設施、信息系統(包含采用移動互聯等技術的系統)、云計算平臺/系統、大數據平臺/系統、物聯網、工業控制系統等。
 
(2)確定等級保護對象的安全等級。
 
(3)根據不同對象的安全保護等級完成安全建設或安全整改工作。應針對等級保護對象特點建立安全技術體系和安全管理體系,構建具備相應等級安全保護能力的網絡安全綜合防御體系。應依據國家網絡安全等級保護政策和標準,開展組織管理、機制建設、安全規劃、安全監測、通報預警、應急處置、態勢感知、能力建設、監督檢查、技術檢測、安全可控、隊伍建設、教育培訓和經費保障等工作。
 
一句話概括:明確等保對象,確定等級,合規建設。
 
 
六、 等級保護的對象可以是一個基礎網絡嗎?
 
答:可以。
 
等級保護2.0的標準名稱由“信息系統安全等級保護”變更為“網絡安全等級保護”,與《網絡安全法》保持一致;這表明,等級保護的對象從傳統的信息系統,擴展為基本信息網絡、信息系統、云計算平臺/系統、大數據平臺/系統、物聯網、工業控制系統等。
 
一句話概括:等級保護對象包括基本信息網絡、信息系統、云計算平臺/系統、大數據平臺/系統、物聯網、工業控制系統等。
 
 
七、 信息系統是否可以按低級別定級?
 
答:不可以。
 
等保2.0不再是自主定級,而是采取以國家行政機關持續監督的“明確等級、增強保護、常態監督”方式進行定級。
 
等保2.0的定級流程包括5個環節:確定定級對象——初步定級——專家評審——主管部門審核——公安機關備案審查;等保2.0強調系統定級必須經過專家評審和主管部門審核,才能到公安機關備案,整體定級更加嚴格,將促進定級過程更加規范,系統定級更加合理。
 
 
一句話概括:等保2.0不再自主定級,必須經過專家評審,主管部門審核。
 
 
八、 去哪里進行信息系統備案,且備案時間是多久?
 
答:各地區要求不同,絕大部分地方規定:各地級市的單位將定級資料交給各自地級市的網安支隊,省級單位將資料交給省公安網安總隊。
 
另外等保2.0要求:二級以上的網絡運營者應當在網絡安全等級保護等級確定后的10個工作日內進行備案,不再是原有的30天內備案,備案時間縮短。
 
一句話概括:到當地公安網安部門進行系統備案,備案時間為10個工作日內。
 
 
九、 系統建設要求方面有哪些變化?
 
答:安全要求方面:等保2.0要求同時滿足“通用要求+安全擴展”的要求。
 
 
 
 
安全控制措施:等保2.0保留了等保1.0的技術和管理兩個維度,但控制措施變更為:
 
技術上:安全物理環境、安全通信網絡、安全區域邊界、安全計算環境、安全管理中心;值得一提的是:等保2.0將安全管理中心從管理層面提升至技術層面。
 
管理上:安全管理制度、安全管理機構、安全管理人員、安全建設管理、安全運維管理。
 
 
一句話概括:每個級別的安全要求均由安全通用要求和安全擴展要求構成,且安全控制措施細分為10大類。
 
 
十、 多久需要做一次信息系統測評?且測評分數達到多少分合格?
 
答:相較于等保1.0,等保2.0測評周期更改為:第三級以上的系統每年開展一次測評,取消了原先1.0時期對于四級系統每半年進行一次等保測評的要求;同時,等保2.0對于測評基本分的要求提高了,從原來的60分以上基本符合,調整為75分以上才算基本符合。
 
一句話概括:第三級以上的系統每年開展一次測評,且75分以上才算基本符合。
 
 
十一、 如果原先已過了等保,等保2.0后,單位是否需要增加保護措施?
 
答:等保1.0強調一個中心三重防護,以防為主,等保2.0在1.0的基礎上,更加強調全方面主動防御、防御領域拓展,測評要求提升,如:
 
 
一句話概括:如果原先已經做了等保,且通過了等保測評,仍需按照新的等保2.0要求,進行更新,查漏補缺。
 
 
十二、 等保2.0下云計算環境如何實施?
 
答:云等保不是新鮮的事物,而是在原等??蚣芟碌男率挛锏臄U展,因此云等保各環節應與傳統等保相同,包括定級、備案、建設整改、測評、監督檢查等。等??蚣芟滦略黾拥脑匦枰獙υ械燃壉Wo相關工作的具體內容進行擴充。
 
 
一句話概括:從定級、備案、建設整改、測評、監督檢查五個層面實施,重點關注云服務商和云租戶的職責劃分。
 
 
十三、 如果不做等保,會有什么樣的處罰?
 
答:《網絡安全法》第五十九條明確了處罰條款:
 
 
下表是等級保護處罰的典型案例:
 
 
一句話概括:如果不做等保,用戶單位可能被罰款1-10萬元;直接負責的主管人員被罰款5000-5萬元;對于關鍵基礎設施的運營者處罰更嚴重,不僅處罰額度更高,且損失了聲譽。
 
 
十四、 等保2.0的關鍵時間點有哪些?
 
 
一句話概括:等保2.0已于2019年5月13日正式發布,于2019年12月1日開始實施。
 
 
十五、 等保2.0帶來哪些商機?
 
答:主要有以下幾個方面:
 
1)等保2.0變為普適性制度相比等保1.0拓展了一個維度:
 
覆蓋技術更全面:技術上不再只針對傳統網絡和信息系統,等保2.0把包括傳統網絡安全、云計算、物聯網、移動互聯、工業控制、大數據等在內所有新技術納入監管。
 
監管范圍更廣:監管對象從體制內的黨政機關、重要部門和央企國企等拓展到了全社會。更有法可依。
 
2)所有網絡運營者都要落實開展網絡安全等級保護,將成為未來企業合規運營的必經之路,因而將催生國內信息安全市場釋放新的巨大需求:
 
市場方面:等保2.0帶來的行業每年增量市場預計在550億以上,而傳統網安企業級市場目前不到350億,彈性足夠,新業務放量將帶動傳統公司進入加速增長軌道。云計算、物聯網、大數據等相關產業也將迎來爆發式增長,未來市場增量的想象空間極大。
 
業務方面:等保2.0相關的安全建設和整改、測評、檢查全過程對技術專業度要求較高,對企業而言,是否順利通過等保具有一定不確定性,直接利好與等級測評,保護等業務最緊密相關的廠商。預計前期測評、自查等咨詢服務、態勢感知、SOC等主動防御產品、自主可控、各類講話和政治局會議中多次提及的網絡內容安全等業務都將迎來快速發展。網絡安全、網絡內容安全、保密領域的如啟明星辰等龍頭廠商以其技術優勢和產品服務的完備性將迎來發展良機。
 
一句話概括:覆蓋技術更全面,監管范圍更廣泛,增加了極大的市場容量和業務空間。
 
 
十六、 是否具有等級保護一站式解決方案?
 
答:集團公司作為唯一全部參與等保2.0三個部分(基本要求、測評要求、安全設計技術要求)起草單位的安全廠商,具備信息安全等級保護安全建設服務機構能力評估合格證書,也是國內極具實力的、擁有完全自主知識產權的網絡安全產品、可信安全管理平臺、安全服務與解決方案的綜合提供商。等保2.0解決方案根據保護對象面臨的安全風險,以等級保護安全框架為依據,融合安全技術體系,安全管理體系,安全服務體系,為用戶構建具備相應等級安全防護能力的主動防御體系。下面以三級要求為例,列出等保安全產品(服務)清單:
 
 
一句話概括:我們擁有高度覆蓋等級保護2.0要求的安全產品,提供符合等級保護2.0建設過程的專業安全服務以及輻射全國的專業技術支撐團隊,可以為用戶提供一站式、全流程、多場景的等級保護2.0解決方案。
 
 

掃二維碼用手機看

下一個:
下一個:
這是描述信息

服務熱線:
400-810-7766 (24H)
E-mail:

shfw@leadsec.com.cn
地址:
北京市海淀區東北旺西路8號中關村軟件園21號

  • 抖音
    抖音
  • 微信
    微信
  • 微博
    微信

版權所有:北京網御星云信息技術有限公司    京ICP備05080314號     

這是描述信息
永盛游戏官网