等级保护2.0报告
目录
背景:
等级保护2.0是什么?
定级对象:
工业控制系统:
物联网:
大数据:
云计算平台:
基础信息网络
其他信息系统
等级保护2.0政策标准体系:
等保2.0与1.0的区别
1.0时代:
2.0时代:
2.0相对于1.0的变化:
定级要求:
定级要求标准:
新增“定级流程”:
等级保护2.0新增或加强的内容主要包括:
01/ 等级确定
02/ 新技术新应用的风险管控
03/ 个人信息安全保护
04/ 网络产品和服务(三级及以上)
05/ 安全管理中心(二级及以上)
06/ 可信验证
07/ 上线检测
08/ 技术维护(三级及以上)
09/ 安全自查
10/ 检测预警和事件通报(三级及以上)
等级保护合规路径
背景:
国务院于1994年正式颁布了《中华人民共和国计算机信息系统安全保护条例》,首次提出计算机信息系统实行安全等级保护,四部委于2007年颁布《信息安全等级保护管理办法》,此后在2008年到2012年期间,国家陆续颁布了系列法律,统称为等级保护1.0系列。
《中华人民共和国网络安全法》于2017年正式实施,其中第21条明确提出国家实行网络安全等级保护制度,随后,等级保护2.0国家标准草稿陆续发布,公开征求意见。2019年5月13日,国家市场监督管理总局、国家标准化管理委员会召开新闻发布会,正式发布了等级保护2.0核心国家标准,包括《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求 》、《GB/T 25070-2019 信息安全技术 网络安全等级保护安全设计技术要求》和《GB/T 28448-2019 信息安全技术 网络安全等级保护测评要求》。
等级保护2.0适应新技术带来的网络环境变化,规范云计算、物联网、移动互联和工业控制领域的等级保护工作,贯彻落实网络安全法。为帮助相关行业深入了解等级保护2.0系列标准、顺利开展等级保护合规建设工作,毕马威对等级保护2.0进行了重点解读,并为企业等级保护建设工作提出合规路径建议。
等级保护2.0是什么?
《网络安全等级保护条例(征求意见稿)》(简称“等保条例”)是依据网络安全法第21条“国家实行网络安全等级保护制度”的要求制定的行政法规,其与等级保护2.0系列国家标准文件(简称“等级保护2.0系列标准”),均为确立网络安全等级保护制度的重要配套法规。
定级对象:
重新对定级对象进行调整,并进行相应的介绍。2。0定级对象分为基础信息网络、信息系统和其他信息系统。其中信息系统再细分为工业控制系统、物联网、大数据、移动互联以及云计算平台。
工业控制系统:
主要是由生产管理层、现场设备层、现场控制层和过程经管层构成,其中生产管理层的定义对象确定原则见(其他信息系统)。设备层、现场控制层和过程监控层应作为一个整体对象定级,各层次要素不单独定级。对于大型的工业控制系统,可以根据系统功能,控制对象和生产厂商等因素划分为多个定级对象。
物联网:
物联网应作为一个整体对象定级,主要包括移动终端、移动应用、无线网络以及相关应用系统等。
采用移动互联技术的信息系统:
采用移动互联技术的等级保护对象应作为一个整体对象定级,主要包括移动终端,移动应用,无线网络以及相关的应用系统等等。
大数据:
应将具有统一安全责任单位的大数据作为一个整体对象定级,或将其与责任主体相同的相关支撑平台统一定级。
云计算平台:
在云计算环境中,应将云服务方侧的云计算平台单独作为定级对象定级,云租户侧的等级保护对象也应作为单独的定级对象定级。对于大型云计算平台,应将云计算基础设施和有关辅助服务系统划分为不同的定级对象。(也就是说云服务方和云租户要进行分开的定级)
基础信息网络
对于电信网、广播电视传输网、互联网等信息等基础信息网络应分别依据服务类型、服务地域和安全责任主体等等因素将其划分为不同的定级对象。跨省全国性业务专网可作为一个整体的对象定级,也可以分区域划分为若干个对象。
其他信息系统
作为定级对象的其他信息系统应具有如下的基本特征:
1、具有确定的主要安全责任单位。作为定义对象的信息系统应能够明确其主要安全责任单位。;
2、承载相对独立的业务应用。作为定级对象的信息系统应承载相对独立的业务应用,完成不同业务目标或者支撑不同单位或不同部门职能的多个信息系统,应划分不同的定级对象。
3、具有信息系统的基本要素。作为定级对象的信息系统应该是由相关的和配套的设备和设施按照一定的应用目标和规则组合而成的多资源集合,单一设备(如服务器、终端、网络设备等)不单独进行定级。
等级保护2.0政策标准体系:
▲注1:在《信息安全等级保护管理办法》的基础上,公安部会同有关部门起草了《网络安全等级保护条例(征求意见稿)》。 《信息安全等级保护管理办法》为现行有效的管理办法, 《网络安全等级保护条例(征求意见稿)》为新条例,目前仍在公开征求意见中。
注2:部分等保2.0系列国家标准仍在进一步修订并将陆续发布。
等保2.0与1.0的区别
GB17859-1999《计算机信息系统安全保护等级划分准则》的区别
1.0时代:
2.0时代:
2.0相对于1.0的变化:
正式更名为网络安全等级保护标准;
横向拓展了对于云计算、移动互联网、物联网、工业控制系统的安全要求;
纵向扩展了对等级保护测评机构的规范管理
定级要求:
重新对部分内容的顺序作了调整,从整体显得更加的合理。
增加了新的内容跟流程,例如扩展了定级的对象,包括基础信息网络、工业控制系统、云计算平台、物联网、其他信息系统,大数据等,新增加的流程为“定级工作一般流程”,并对旧版本“定级一般流程”更名为“定级方法流程”。
定级要求标准:
新增“定级流程”:
等级保护2.0新增或加强的内容主要包括:
01/ 等级确定
等级保护2.0的信息系统安全保护等级矩阵表和业务信息安全保护等级矩阵表中,均将“对公民、法人和其他组织的合法权益侵害造成特别严重损害”的保护等级从“第二级”修改为“第三级”。 因此网络运营者需要客观评估其定级对象受到破坏时所侵害的客体,以及对客体可能造成的侵害程度(如:业务能力下降、引起法律纠纷、导致财产损失、造成社会不良影响等)。
等级保护1.0仅要求第三级及以上系统的等级确定应组织专家评审,而等级保护2.0则要求第二级系统的等级确定也应组织专家评审。
02/ 新技术新应用的风险管控
等级保护2.0要求网络运营者充分评估其所采用的云计算、大数据、人工智能、物联网、工控系统和移动互联等新技术、新应用带来的安全风险,并参照等保2.0系列国家标准,在“通用要求”的基础上,依据相 应的“扩展要求”,采取安全管控措施,保护新技术、新应用。
03/ 个人信息安全保护
等级保护1.0约定了数据安全方面的通用要求,而等级保护2.0遵循《网络安全法》明确了 “个人信息保护”相关管理要求,明确网络运营者应建立并落实个人信息安全保护制度,在数据生命周期各个环节采取安全保护措施。此外,个人信息保护的具体要求可以参照《个人信息安全规范》、《个人信息安全影响评估指南(征求意见稿)》等国家标准。
04/ 网络产品和服务(三级及以上)
等保条例依据《网络产品和服务安全审查办法(试行)》和《网络关键设备和网络安全专用产品目录》,要求第三级及以上网络的网络运营者 应采用与其安全保护等级相适应的网络产品和服务,对重要部位使用的网络产品应通过专业机构的测评或认证。此外,等级保护2.0系列国标 也提出了信息安全产品和密码产品与服务的采购和使用应符合国家有关规定的要求。因此,网络运营者必须明确自己采购、使用或租用的产品的合规情况,以及外部网络服务提供者的相关资质,了解可能存在的安全风险。
05/ 安全管理中心(二级及以上)
等级保护2.0明确将“安全管理中心”作为5大技术领域之一,充分体现 “一个中心(安全管理中心)和三重防御(安全通信网络、安全区域边界和安全计算环境)”的思想:二级的“安全管理中心”包含“系统管 理”和“审计管理”相关要求;三级及以上的“安全管理中心”包含了 “系统管理”、“审计管理”和“安全管理”等相关要求。
06/ 可信验证
等级保护2.0基本要求中,从一级到四级的“安全通信网络”、“安全区域边界”和“安全计算环境”中均新增了部分“可信验证”控制点,建议在关键执行环节开展动态可信验证,并进行有效的跟进处置和记录。
07/ 上线检测
等保条例新增第二级及以上系统上线检测要求,新建的第二级网络上线 运行前应当按照网络安全等级保护有关标准规范,对网络的安全性进行测试,公安部门有权要求提供检测报告。
08/ 技术维护(三级及以上)
等保条例要求第三级及以上网络应当在境内实施技术维护,不得境外远程技术维护。因业务需要,确需进行境外远程技术维护的,应当进行网络安全评估,并采取风险管控措施。实施技术维护,应当记录并留存技术维护日志,并在公安机关检查时如实提供。因此,对于网络运营者而言,第三级及以上网络的保护强度事实上类同于关键信息基础设施的保护要求。
09/ 安全自查
等保条例新增要求网络运营者应当每年对本单位落实网络安全等级保护 制度情况和网络安全状况至少开展一次自查,发现安全风险隐患及时整改,并向备案的公安机关报告。因此,这将成为网络运营者的日常安全工作之一。此外,公安机关对拥有三级及以上网络的网络运营者每年至少开展一次安全检查。
10/ 检测预警和事件通报(三级及以上)
等保条例要求三级及以上网络的网络运营者应当建立健全网络安全监测 预警和信息通报制度,按照规定向同级公安部门报送网络安全监测预警信息,报告网络安全事件。因此,网络运营者在其网络安全管理制度中,应结合网络安全应急预案,制定合理的事件分类分级策略和处置流程,并建立与公安部门的通报路径。
等级保护合规路径
等级保护是国家信息安全保障工作的基本制度;是督促合规性要求,开展网络安全工作的基本方法;是促进信息化、维护网络安全的根本保障。企业必须在系统建设、改造完成后,选择具备资质的测评机构,依据网络安全等级保护合规性要求,开展等级保护建设工作,以有效规避企业所面临的网络安全风险。
