1. 等級保護2.0國家標准
網路安全等級保護制度》2.0國家標准發布,其中關於企業數據保護有以下要求:應提供重要數據的本地數據備份與恢復能力;應提供異地數據備份功能,利用通信網路能將重要數據定時批量傳送至備用場地,應識別需要定期備份的重要業務信息、系統數據及軟體系統等;應規定備份信息的備份方式、備份頻度、存儲介質、保質期等;應根據數據的重要性和數據對系統運行的影響,制定數據的備份策略和恢復策略,備份程序和恢復程序等。該標準的發布標志著我國網路安全等級保護工作正式進入「2.0時代」。等級保護工作的落實有效提升了我國的網路安全防護能力。等保2.0的發布,是對除傳統信息系統之外的新型網路系統安全防護能力提升的有效補充,是貫徹落實《中華人民共和國網路安全法》、實現國家網路安全戰略目標的基礎。
【拓展資料】
國家市場監督管理總局、國家標准化管理委員會召開新聞發布會,等保2.0相關的《信息安全技術網路安全等級保護基本要求》、《信息安全技術網路安全等級保護測評要求》、《信息安全技術網路安全等級保護安全設計技術要求》等國家標准正式發布,將於2019年12月1日開始實施。
發布會由市場監督管理總局新聞宣傳司領導主持。市場監督管理總局標准技術司副司長通報國家標准制定流程改革情況並發布重要國家標准。公安部信息安全等級保護評估中心規劃咨詢部副主任陳廣勇對《信息安全技術網路安全等級保護基本要求》國家標准進行了解讀。
信息安全等級保護制度是國家信息安全保障工作的基礎,也是一項事關國家安全、社會穩定的政治任務。通過開展等級保護工作,發現企業網路和信息系統與國家安全標准之間存在的差距,找到目前系統存在的安全隱患和不足,通過安全整改,提高信息系統的信息安全防護能力,降低系統被各種攻擊的風險。
相較於2007年實施的《信息安全等級保護管理辦法》所確立的等級保護1.0體系,為了適應現階段網路安全的新形勢、新變化以及新技術、新應用發展的要求,2018年公安部正式發布《網路安全等級保護條例(徵求意見稿)》,國家對信息安全技術與網路安全保護邁入2.0時代。
據了解,原來的保護對象主要包括各類重要信息系統和政府網站,保護方法主要是對系統進行定級備案、等級測評、建設整改、監督檢查等,在此基礎上,等保2.0擴大了保護對象的范圍、豐富了保護方法、增加了技術標准。等保2.0將網路基礎設施、重要信息系統、大型互聯網站、大數據中心、雲計算平台、物聯網系統、工業控制系統、公眾服務平台等全部納入等級保護對象,並將風險評估、安全監測、通報預警、案事件調查、數據防護、災難備份、應急處置、自主可控、供應鏈安全、效果評價、綜治考核、安全員培訓等工作措施全部納入等級保護制度。
有國內專業機構表示,等保2.0國家標准對比等保1.0,在保護范圍、法律效力、技術標准、安全體系、定級流程、定級指導等方面均發生變化,信息安全系統改造在即。等保2.0做出對關鍵信息基礎設施「定級原則上不低於三級」的指導,測評分數的要求由60分提升至75分以上,且第三級及以上信息系統每年或每半年就要進行一次測評。國家重點行業將帶頭加大信息安全產品和咨詢服務的持續投入。回顧我國信息安全產業曾在等保1.0影響下進入加速發展期,專家預計,等保2.0將繼續帶動行業大發展,至少打開百億級以上增量市場空間。
2. 中國網路安全法頒布實施的時間
《中華人民共和國網路安全法》已由中華人民共和國第十二屆全國人民代表大會常務委員會第二十四次會議於2016年11月7日通過,現予公布,自2017年6月1日起施行。
2022年9月12日,國家互聯網信息辦公室發布關於公開徵求《關於修改〈中華人民共和國網路安全法〉的決定(徵求意見稿)》意見的通知。 《網路安全法》是我國第一部全面規范網路空間安全管理方面問題的基礎性法律,是我國網路空間法治建設的重要里程碑,是依法治網、化解網路風險的法律重器,是讓互聯網在法治軌道上健康運行的重要保障。《網路安全法》將近年來一些成熟的好做法制度化,並為將來可能的制度創新做了原則性規定,為網路安全工作提供切實法律保障。本法在以下幾個方面值得特別關註:
一、《網路安全法》的基本原則
第一,網路空間主權原則。《網路安全法》第1條「立法目的」開宗明義,明確規定要維護我國網路空間主權。網路空間主權是一國國家主權在網路空間中的自然延伸和表現。習近平總書記指出,《聯合國憲章》確立的主權平等原則是當代國際關系的基本准則,覆蓋國與國交往各個領域,其原則和精神也應該適用於網路空間。各國自主選擇網路發展道路、網路管理模式、互聯網公共政策和平等參與國際網路空間治理的權利應當得到尊重。第2條明確規定《網路安全法》適用於我國境內網路以及網路安全的監督管理。這是我國網路空間主權對內最高管轄權的具體體現。
第二,網路安全與信息化發展並重原則。習近平總書記指出,安全是發展的前提,發展是安全的保障,安全和發展要同步推進。網路安全和信息化是一體之兩翼、驅動之雙輪,必須統一謀劃、統一部署、統一推進、統一實施。《網路安全法》第3條明確規定,國家堅持網路安全與信息化並重,遵循積極利用、科學發展、依法管理、確保安全的方針;既要推進網路基礎設施建設,鼓勵網路技術創新和應用,又要建立健全網路安全保障體系,提高網路安全保護能力,做到「雙輪驅動、兩翼齊飛」。
第三,共同治理原則。網路空間安全僅僅依靠政府是無法實現的,需要政府、企業、社會組織、技術社群和公民等網路利益相關者的共同參與。《網路安全法》堅持共同治理原則,要求採取措施鼓勵全社會共同參與,政府部門、網路建設者、網路運營者、網路服務提供者、網路行業相關組織、高等院校、職業學校、社會公眾等都應根據各自的角色參與網路安全治理工作。
二、《網路安全法》提出制定網路安全戰略,明確網路空間治理目標,提高了我國網路安全政策的透明度
《網路安全法》第4條明確提出了我國網路安全戰略的主要內容,即:明確保障網路安全的基本要求和主要目標,提出重點領域的網路安全政策、工作任務和措施。第7條明確規定,我國致力於「推動構建和平、安全、開放、合作的網路空間,建立多邊、民主、透明的網路治理體系。」這是我國第一次通過國家法律的形式向世界宣示網路空間治理目標,明確表達了我國的網路空間治理訴求。上述規定提高了我國網路治理公共政策的透明度,與我國的網路大國地位相稱,有利於提升我國對網路空間的國際話語權和規則制定權,促成網路空間國際規則的出台。
三、《網路安全法》進一步明確了政府各部門的職責許可權,完善了網路安全監管體制
《網路安全法》將現行有效的網路安全監管體製法制化,明確了網信部門與其他相關網路監管部門的職責分工。第8條規定,國家網信部門負責統籌協調網路安全工作和相關監督管理工作,國務院電信主管部門、公安部門和其他有關機關依法在各自職責范圍內負責網路安全保護和監督管理工作。這種「1+X」的監管體制,符合當前互聯網與現實社會全面融合的特點和我國監管需要。
四、《網路安全法》強化了網路運行安全,重點保護關鍵信息基礎設施
《網路安全法》第三章用了近三分之一的篇幅規范網路運行安全,特別強調要保障關鍵信息基礎設施的運行安全。關鍵信息基礎設施是指那些一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的系統和設施。網路運行安全是網路安全的重心,關鍵信息基礎設施安全則是重中之重,與國家安全和社會公共利益息息相關。為此,《網路安全法》強調在網路安全等級保護制度的基礎上,對關鍵信息基礎設施實行重點保護,明確關鍵信息基礎設施的運營者負有更多的安全保護義務,並配以國家安全審查、重要數據強制本地存儲等法律措施,確保關鍵信息基礎設施的運行安全。
五、《網路安全法》完善了網路安全義務和責任,加大了違法懲處力度
《網路安全法》將原來散見於各種法規、規章中的規定上升到人大法律層面,對網路運營者等主體的法律義務和責任做了全面規定,包括守法義務,遵守社會公德、商業道德義務,誠實信用義務,網路安全保護義務,接受監督義務,承擔社會責任等,並在「網路運行安全」、「網路信息安全」、「監測預警與應急處置」等章節中進一步明確、細化。在「法律責任」中則提高了違法行為的處罰標准,加大了處罰力度,有利於保障《網路安全法》的實施。
六、《網路安全法》將監測預警與應急處置措施制度化、法制化
《網路安全法》第五章將監測預警與應急處置工作制度化、法制化,明確國家建立網路安全監測預警和信息通報制度,建立網路安全風險評估和應急工作機制,制定網路安全事件應急預案並定期演練。這為建立統一高效的網路安全風險報告機制、情報共享機制、研判處置機制提供了法律依據,為深化網路安全防護體系,實現全天候全方位感知網路安全態勢提供了法律保障。
3. 網路安全等級保護2.0什麼時候實施,相比1.0有哪些變化
網路安全等級保護2.0時代,於2019年12月1日正式開始。
網路安全等級保護制度是我國網路安全領域的基本國策、基本制度,等級保護標准在1.0時代標準的基礎上,注重主動防禦,從被動防禦到事前、事中、事後全流程的安全可信、動態感知和全面審計,實現了對傳統信息系統、基礎信息網路、雲計算、大數據、物聯網、移動互聯網和工業控制信息系統等級保護對象的全覆蓋。
等保2.0相比1.0主要有四大方面的變化:
(1) 名稱上的變化
名稱上由「信息系統安全等級保護」轉變為「網路安全等級保護」。
(2) 法律效力不同
《網路安全法》第21條規定「國家實行網路安全等級保護制度,要求網路運營者應當按照網路安全等級保護制度要求,履行安全保護義務」。落實網路安全等級保護制度上升為法律義務。
(3)保護對象有擴展
等保1.0主要是信息系統。而等保2.0將網路基礎設施(廣電網、電信網、專用通信網路等)、雲計算平台/系統、採用移動互聯技術的系統、物聯網、工業控制系統等納入到等級保護對象范圍中。
(4) 控制措施分類不同
等保1.0按照技術和管理各5個方面的要求進行分類,技術要求分為物理安全、網路安全、主機安全、應用安全、數據安全及備份恢復,管理要求分為安全管理制度、安全管理機構、人員安全管理、系統建設管理和系統運維管理。
等保2.0則有很大的變化。技術要求分為安全物理環境、安全通信網路、安全區域邊界、安全計算環境、安全管理中心,管理要求分為安全管理制度、安全管理機構、安全人員管理、安全建設管理和安全運維管理。此外,等保2.0基本要求、測評要求、安全設計技術要求框架保持了一致性,即「一個中心,三重防護」。
(5) 內容進行了擴充
等保1.0有五個規定性動作,包括定級、備案、建設整改、等級測評和監督檢查。而等保2.0除了定級、備案、建設整改、等級測評和監督檢查之外,增加了風險評估、安全監測、通報預警、案事件調查、數據防護、災難備份、應急處置等。
資料來源等保測評機構——時代新威官網。
4. 什麼是等保2.0
等保2.0是什麼?
等保2.0是等保1.0的升級,也就是網路安全等級保護。目前我國將全國的信息系統(包括網路)按照信息系統的業務信息和系統服務被破壞後,對受侵害客體的侵害程度分成五個安全保護等級。
等保2.0什麼時候開始實施的?
2019年5月13日,國家市場監督管理總局召開新聞發布會,正式發布《信息安全技術網路安全等級保護基本要求》2.0版本,等保2.0於2019年12月1日正式實施。等保2.0的實施,是我國實行網路安全等級保護制度過程中的一件大事,具有里程碑意義。
等保2.0四大特點簡單介紹
01、等級保護2.0新標准將對象范圍由原來的信息系統改為等級保護對象(信息系統、通信網路設施和數據資源等)。等級保護對象包括網路基礎設施(廣電網、電信網、專用通信網路等)、雲計算平台/系統、大數據平台/系統、物聯網、工業控制 系統、採用移動互聯技術的系統等。
02、等級保護2.0新標准在1.0標準的基礎上進行了優化,同時針對雲計算、移動互聯、物聯網、工業控制系統及大數據等新技術和新應用領域提出新要求,形成了安全通用要求+新應用安全擴展要求構成的標准要求內容。
03、等級保護2.0新標准統一了《GB/T 22239-2019》、《GB/T 25070-2019》和《GB/T28448-2019》三個標準的架構,採用了「一個中心,三重防護」的防護理念和分類結構,強化了建立縱深防禦和精細防禦體系的思想。
04、等級保護2.0新標准強化了密碼技術和可信計算技術的使用,把可信驗證列入各個級別並逐級提出各個環節的主要可信驗證要求,強調通過密碼技術、可信驗證、安全審計和態勢感知等建立主動防禦體系的期望。
5. 網路安全等級保護2.0標准正式實施的時間是
2019年12月1日網路安全等級保護2.0國家標準的正式實施,標志著我國網路安全等級保護制度進入了全新時代。作為國家等級保護標准體系的核心標准之一的GB/T 22240-2020《信息安全技術 網路安全等級保護定級指南》(以下簡稱「定級指南」)於2020年4月28日發布,2020年11月1日正式實施。
定級指南規定了非涉及國家秘密的等級保護對象的定級方法和流程,通過指導網路運營者合理劃分定級對象和准確的確定安全保護等級,為後續的安全建設整改、等級測評等工作奠定了良好的基礎。
01 等級保護對象擴大了
等保保護定級對象主要包括:信息系統、通信網路設施和數據資源等
信息系統就是我們在1.0時候的定級對象,指的是各類信息系統;
通信網路設施指的是為信息流通、網路運行等起基礎支撐作用的網路設備設施,主要包括電信網、廣播電視傳輸網和行業或單位的專用通信網等;
數據資源指的是具有或預期具有價值的數據集合,數據資源主要是擁有大量各類有價值的數據,那麼這些單位需要保護好這些數據資源,自然需要對該數據資源進行定級,我們可以想像的這類數據有:人社數據、醫保數據、公積金數據、個人財產數據(銀行、房產、保險等)等信息。
需要注意的是:
當安全責任主體相同時,大數據、大數據平台/系統宜作為一個整體對象定級;
當安全責任主體不同時,大數據應獨立定級;涉及到大量公民個人信息以及為公民提供公共服務的大數據平台/系統,原則上其安全保護等級不低於三級;
不是所有的這類數據都需要獨立去定級,日常中主要存在數據進行集中化後的場景,例如一些地方的大數據局或者政務中心將各行業的一些數據要過來後進行相關應用或使用時應當對這些數據進行獨立定級。
02 定級要素與安全保護等級新關系
當公民、法人和其他組織的合法權益造成特別嚴重損害時依然定為二級。
根據2.0的定級指南中定級要數與安全保護等級的關系表我們發現當公民、法人和其他組織的合法權益造成特別嚴重損害時依然為二級,這塊在徵求意見稿中是第三級。
定級要素與安全保護等級的關系如下:
03 受侵害的客體表現形式有哪些
定級對象受到破壞時所侵害的客體包括國家安全、社會秩序、公眾利益以及公民、法人和其他組織.
侵害國家安全的事項包括以下方面:
1.影響國家政權穩固和領土主權、海洋權益完整;
2.影響國家統一、民族團結和社會穩定;
3.影響國家社會主義市場經濟秩序和文化實力;
4.其他影響國家安全的事項。
侵害社會秩序的事項包括以下方面:
1.影響國家機關、企事業單位、社會團體的生產秩序、經營秩序、教學科研秩序、醫療衛生秩序;影響公共場所的活動秩序.公共交通秩序;
2.影響人民群眾的生活秩序;
3.其他影響社會秩序的事項。
侵害公共利益的事項包括以下方面:
1.影響社會成員使用公共設施;
2.影響社會成員獲取公開數據資源;
3.影響社會成員接受公共服務等方面;
4.其他影響公共利益的事項。
業務信息安全和系統服務安全受到破壞後,可能產生以下侵害後果:
1.影響行使工作職能;
2.導致業務能力下降;
3.引起法律糾紛;
4.導致財產損失;
5.造成社會不良影響;
6.對其他組織和個人造成損失;
7.其他影響。
侵害公民法人和其他組織的合法權益是指受法律保護的公民.法人和其他組織所享有的社會權利和利益等受到損害。
確定受侵害的客體時.首先判斷是否侵害國家安全,然後判斷是否侵害社會秩序或公眾利益.最後判斷是否侵害公民,法人和其他組織的合法權益。
04 定級新流程
對於新建網路、運營者應當依照等級保護相關法律法規要求和本標准,在規劃設計階段確定其安全保護等級;對於跨省或者全國統一聯網運行的網路可以由行業主管(監管)部門統一組織定級工作。安全保護等級初步確定為第二級及以上的等級保護對象,其運營者應當依據標准要求分別進行專家評審、主管部門核准和公安機關備案審核,最終確定其安全保護等級。
定級中的一般工作流程:
專家評審:定級對象的運營、使用單位應組織信息安全專家和業務專家等,對初步定級結果的合理性進行評審,並出具專家評審意見 。
主管部門審批:定級對象的運營、使用單位應將初步定級結果報請行業主管(監管)部門核准,並出具核准意見。
公安機關審核:定級對象的運營、使用單位應按照相關管理規定,將初步定級結果提交公安機關進行備案審查,審查不通過,其運營使用單位應組織重新定級;審查通過後最終確定定級對象的安全保護等級。
企業合規通過等保2.0,完成備案審核後還需通過整改建設、等級評測的工作流程。
網堤安全一站式等保合規解決方案
等級保護的各個階段有著不同的工作重點,網堤安全憑借著深厚的技術實力和豐富的安全服務項目經驗,針對等級保護各個階段同時可提供專業的等保咨詢服務、安全防護產品、安全技術服務和安全運營服務。為各行業、各種場景的安全等級保護建設、提供全流程的保駕護航。
法律依據:
《網路安全法》第二十一條規定:
國家實行網路安全等級保護制度。網路運營者應當按照網路安全等級保護制度的要求,履行下列安全保護義務,保障網路免受干擾、破壞或未經授權的訪問,防止網路數據泄漏或者被竊取、篡改。
6. 等保2.0定級指南,你要了解在這里!
2019年12月1日網路安全等級保護2.0國家標準的正式實施,標志著我國網路安全等級保護制度進入了全新時代。作為國家等級保護標准體系的核心標准之一的 GB/T 22240-2020《信息安全技術 網路安全等級保護定級指南》 (以下簡稱「定級指南」)於2020年4月28日發布,2020年11月1日正式實施。
定級指南規定了非涉及國家秘密的等級保護對象的定級方法和流程,通過指導網路運營者合理劃分定級對象和准確的 確定安全保護等級 ,為後續的安全建設整改、等級測評等工作奠定了良好的基礎。
新版定級指南在等級保護1.0定級指南的基礎上,對等級保護對象做了新的定義,增加了對雲大物移工等場景的說明,修改了定級流程,以適應新形勢下等級保護工作的需要,有力推動了等級保護工作的開展。那麼2.0的定級指南正式實施後,我們需要注意哪些點呢?
等級保護對象新定義
等保保護定級對象主要包括: 信息系統 、 通信網路設施 和 數據資源等 。
信息系統 就是我們在1.0時候的定級對象,指的是各類信息系統;
通信網路設施 指的是為信息流通、網路運行等起基礎支撐作用的網路設備設施,主要包括電信網、廣播電視傳輸網和行業或單位的專用通信網等,所以大家得注意了自己單位的專網得定級,特別是承載了重要信息系統或者專網規模較大的網路;
數據資源 指的是具有或預期具有價值的數據集合,數據資源主要是擁有大量各類有價值的數據,那麼這些單位需要保護好這些數據資源,自然需要對該數據資源進行定級,我們可以想像的這類數據有:人社數據、醫保數據、公積金數據、個人財產數據(銀行、房產、保險等)等信息。
定級要素與安全保護等級新關系
依據安全保護等級的定義,定級應綜合考慮「等級保護對象在國家安全、經濟建設、社會生活中的重要程度,以及一旦遭受到破壞、喪失功能或者數據被篡改、泄露、丟失、損毀後,對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的侵害程度等因素」。因此本標准中明確等級保護對象的定級要素為兩個,分別為「 受侵害的客體 」和「 對客體的侵害程度 」。
定級要素與安全保護等級的關系如下。
受侵害的客體表現形式有哪些
定級對象受到破壞時所侵害的客體包括國家安全、社會秩序、公眾利益以及公民、法人和其他組織.
侵害國家安全的事項包括以下方面 :
1.影響國家政權穩固和領土主權、海洋權益完整;
2.影響國家統一、民族團結和社會穩定;
3.影響國家社會主義市場經濟秩序和文化實力;
4.其他影響國家安全的事項。
侵害社會秩序的事項包括以下方面 :
1.影響國家機關、企事業單位、社會團體的生產秩序、經營秩序、教學科研秩序、醫療衛生秩序;影響公共場所的活動秩序.公共交通秩序;
2.影響人民群眾的生活秩序;
3.其他影響社會秩序的事項。
侵害公共利益的事項包括以下方面 :
1.影響社會成員使用公共設施;
2.影響社會成員獲取公開數據資源;
3.影響社會成員接受公共服務等方面;
4.其他影響公共利益的事項。
業務信息安全和系統服務安全受到破壞後,可能產生以下侵害後果 :
1.影響行使工作職能;
2.導致業務能力下降;
3.引起法律糾紛;
4.導致財產損失;
5.造成社會不良影響;
6.對其他組織和個人造成損失;
7.其他影響。
侵害公民法人和其他組織的合法權益是指受法律保護的公民.法人和其他組織所享有的社會權利和利益等受到損害。
確定受侵害的客體時.首先判斷是否侵害國家安全,然後判斷是否侵害社會秩序或公眾利益.最後判斷是否侵害公民,法人和其他組織的合法權益。
等級保護對象新特徵
作為等級保護對象的網路應具有如下基本特徵:
具有確定的主要安全責任主體 ;
承載相對獨立的業務應用 ;
包含相互關聯的多個資源 。
在確定定級對象時,雲計算平台/系統、物聯網、工業控制系統、採用移動互聯技術的系統在滿足以上基本特徵的基礎上,需要滿足以下要求。
定級新流程
對於新建網路、運營者應當依照等級保護相關法律法規要求和本標准,在規劃設計階段確定其安全保護等級;對於跨省或者全國統一聯網運行的網路可以由行業主管(監管)部門統一組織定級工作。安全保護等級初步確定為第二級及以上的等級保護對象,其運營者應當依據標准要求分別進行專家評審、主管部門核准和公安機關備案審核,最終確定其安全保護等級。
專家評審 :定級對象的運營、使用單位應組織信息安全專家和業務專家等,對初步定級結果的合理性進行評審,並出具專家評審意見 。
主管部門審批 :定級對象的運營、使用單位應將初步定級結果報請行業主管(監管)部門核准,並出具核准意見。
公安機關審核 :定級對象的運營、使用單位應按照相關管理規定,將初步定級結果提交公安機關進行備案審查,審查不通過,其運營使用單位應組織重新定級;審查通過後最終確定定級對象的安全保護等級。
7. 網路安全等級保護與信息安全等級保護有什麼區別
等級保護是我們國家的基本網路安全制度、基本國策,也是一套完整和完善的網路安全管理體系。遵循等級保護相關標准開始安全建設是目前企事業單位的普遍要求,也是國家關鍵信息基礎措施保護的基本要求。
企業辦理網路安全等級保護備案的原因:
1.建立有效的網路安全防禦體系(讓客戶的系統真正具有安全防禦的能力)
2. 完成信息系統等級保護公安備案(取得備案證明) ,順利通過網路安全等級保護測評(取得測評報告)
3 滿足相關部門的合規性要求(包括國家的政策,法律法規的要求,還有上級部門的要求,還有甲方客戶的要求等)
4. 系統過了等保,一定程度上可以提高企業投標鎖標的能力,為投標加分
網路安全等級保護分五個級別:
