等保2.0全称网络安全等级保护制度2.0标准(以下简称等保2.0标准),于2019年12月1日开始实施网络安全等级保护制度是国家网络安全领域的基本国策,基本制度和基本方法随着信息技术的发展和网络安全形势的变化等保2.0标准在1.0的基础上注重全方位主动防御,动态防御,整体防控和精准防护实现了对云计算,大数据,物联网,移动互联和工业控制信息系统等保护对象全覆盖以及除个人及家庭自建网络之外的领域全覆盖等保2.0标准的发布对加强我国网络安全保障工作提升网络安全保护能力具有重要意义。
哪些行业需要开展等保2.0?
政府单位、金融行业、医疗行业、教育行业、公共安全行业、能源行业、企业单位以及其他有信息系统定级需求的行业与单位,均在等保2.0的监管范围。
企业为什么要做等级保护?
国家法律法规及行业监管政策都要求展开等级保护工作。如2017年6月1日颁布的《中华人民共和国网络安全法》第十七条要求,国家实施网络安全等级保护制度第二十一条要求,网络运营者应当制定网络安全事件应急预案第三十一条则要求,关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。2019年12月1日颁布的《GBT22239-2019信息安全技术网络安全等级保护基本要求》明确规定信息系统运营、使用单位应按照网络安全等级保护制度要求,履行安全保护义务,如果拒不履行,将受到相应处罚。
等保2.0基本要求
1、等级保护的基本要求、测评要求和安全设计技术要求框架统一,即:安全管理中心支持下的三重防护结构框架;2、通用安全要求+新型应用安全扩展要求,将云计算、移动互联、物联网、工业控制系统等列入标准规范;3、将可信验证列入各级别和各环节的主要功能要求。
法律依据:
《中华人民共和国社会保险法》
第十二条用人单位应当按照国家规定的本单位职工工资总额的比例缴纳基本养老保险费,记入基本养老保险统筹基金。
职工应当按照国家规定的本人工资的比例缴纳基本养老保险费,记入个人账户。
无雇工的个体工商户、未在用人单位参加基本养老保险的非全日制从业人员以及其他灵活就业人员参加基本养老保险的,应当按照国家规定缴纳基本养老保险费,分别记入基本养老保险统筹基金和个人账户。
第二十三条职工应当参加职工基本医疗保险,由用人单位和职工按照国家规定共同缴纳基本医疗保险费。
无雇工的个体工商户、未在用人单位参加职工基本医疗保险的非全日制从业人员以及其他灵活就业人员可以参加职工基本医疗保险,由个人按照国家规定缴纳基本医疗保险费。
第三十五条用人单位应当按照本单位职工工资总额,根据社会保险经办机构确定的费率缴纳工伤保险费。
第四十四条职工应当参加失业保险,由用人单位和职工按照国家规定共同缴纳失业保险费。
第五十三条职工应当参加生育保险,由用人单位按照国家规定缴纳生育保险费,职工不缴纳生育保险费
等级保护定级标准是什么?
等保2.0基本要求有以下三个特点:
1、等级保护的基本要求、测评要求和安全设计技术要求框架统一,即:安全管理中心支持下的三重防护结构框架
2、通用安全要求+新型应用安全扩展要求,将云计算、移动互联、物联网、工业控制系统等列入标准规范
3、将可信验证列入各级别和各环节的主要功能要求。
定级对象的类型
等保进入2.0时代,保护对象从传统的网络和信息系统,向“云移物工大”上扩展,基础网络、重要信息系统、互联网、大数据中心、云计算平台、物联网系统、移动互联网、工业控制系统、公众服务平台等都纳入了等级保护的范围。
等保2.0典型变化
1.可信计算
可信计算的基本思想是,首先在计算机系统中构建一个信任根,信任根的可信性由物理安全、技术安全和管理安全共同确保再建立一条信任链,从信任根开始到软硬件平台、到操作系统、再到应用,一级度量认证一级、一级信任一级,把这种信任扩展到整个计算机系统,从而确保整个计算机系统的可信。目前国内可信计算已进入3.0时代。
2.安全监测能力
以信息安全事件为核心,通过对网络和安全设备日志、系统运行数据等信息的实时采集,以关联分析等方式,实现对监测对象进行风险识别、威胁发现、安全事件实时报警及可视化展现。包含系统、设备、流量、链路、威胁、攻击、审计等维度。
3.通报预警能力
《网络安全法》及《关键信息基础设施安全保护条例》同时要求建立网络安全监测预警和信息通报制度,及时掌握本行业、本领域关键信息基础设施运行状况和安全风险。
2020年4月28日,国家市场监督管理总局和国家标准化管理委员会发布了《GBT 22240-2020信息安全技术网络安全等级保护定级指南》,且该指南将于2020年11月1日正式实施。需要对信息系统进行定级的企业可以以此为定级依据。
根据规定,信息系统一共分五个等级,由一到五级别逐渐升高。
信息系统的五个等级
等级保护对象的级别由两个定级要素决定:①受侵害的客体。分三个方面,即:公民、法人和其他组织的合法权益;社会秩序、公共利益;国家安全;②对客体的侵害程度。分三种程度,即:造成一般损害;造成严重损害;造成特别严重损害。
等级保护对象定级工作流程一般为:确定定级对象→初步确定等级→专家评审→主管部门批准→公安机关审核。安全保护等级初步确定为第二级及以上的等级保护对象,其网络运营者依据本标准组织专家评审、主管部门批准和公安机关备案审核,最终确定其安全等级。初步确定为第一级的等级保护对象,可不进行专家评审、主管部门批准和公安机关审核。
以上就是关于什么是等保2.0全部的内容,如果了解更多相关内容,可以关注我们,你们的支持是我们更新的动力!
