網絡安全等級保護新國標“靴子落地”

【業內動態】

《信息安全技術網絡安全等級保護基本要求》正式發布

網絡安全等級保護新國標“靴子落地”

本報訊我國網絡安全等級保護工作正式進入“2.0時代”。

日前，國家市場監督管理總局、國家標準化管理委員會召開新聞發布會，正式發布新修訂的《信息安全技術網絡安全等級保護基本要求》（以下簡稱《基本要求》）以及與之配套的《信息安全技術網絡安全等級保護測評要求》和《信息安全技術網絡安全等級保護安全設計技術要求》。新標準實施時間為2019年12月1日。

網絡安全等級保護一系列新國家標準（以下簡稱等保2.0）的發布，標志著實施了十余年之久的信息安全等級保護制度正式進入2.0時代。等保2.0沿用了傳統等級保護的5個監管動作：定級、備案、建設整改、等級測評和監督檢查。除了常規的5個監管動作外，等保2.0標準還將風險評估、安全檢測、通報預警、數據防護、自主可控、供應鏈安全、效果評價等方面工作都納入了等級保護范圍內。

同時，等保2.0沿用了傳統等級保護的“5個等級”。在覆蓋范圍上，等保2.0將等級保護對象從信息系統擴展到網絡基礎設施、云計算平臺、大數據平臺、物聯網等。在定級流程方面，自主定級成為過去式，等保2.0要求系統定級必須經過專家評審和主管部門審核，才能到公安機關備案，整體定級更加嚴格。測評周期方面，等保2.0要求三級以上系統每年開展一次測評，修改了原先四級系統每半年進行一次等保測評的要求。測評結果則要求達到75分以上才算基本符合。

據了解，一直以來，我國在信息安全保護方面主要依據2007年和2008年頒布實施的《信息安全等級保護管理辦法》和《信息安全等級保護基本要求》。傳統等級保護主要強調物理安全、主機安全、數據安全，而等保2.0在對傳統等級保護進行優化的同時，進一步適應新技術的發展。相較于傳統等級保護，在等保2.0標準體系中，每一等級除通用要求外，均新增了云計算安全、移動互聯安全、物聯網安全、工業控制系統安全和大數據安全這5個擴展要求。

等保2.0作為一個普適性的制度，范圍更廣、力度更大，不再只針對黨政機關重要部門和央企、國企等重點企業，所有網絡運營者都要落實。因此，等保2.0涉及政府機關、金融、電信運營商、能源、企業單位、互聯網、游戲等諸多行業。上述行業應根據各自責任落實相應技術措施。根據誰主管誰負責、誰運營誰負責、誰使用誰負責的原則，網絡運營者成為等級保護的責任主體，如何快速高效地通過等級保護測評成為企業開展業務前必須思考的問題。

值得一提的，在等保2.0時代，防護理念方面，則要求運營者從以往的被動防御轉為全方位主動防御，做到感知預警、動態防護、安全檢測、應急響應。

（程紅琳）

本報擁有此文版權，若需轉載或復制，請注明來源于中國政府采購報，標注作者，并保持文章的完整性。否則，將追究法律責任。