等保2.0正式发布两周年,各级政企部门在网络安全合规建设中又有了哪些新变化和新问题,下面就和小编一起来看看吧。
2019年5月13日,国家市场监督管理总局、国家标准化管理委员会召开新闻发布会,正式发布等保2.0“三大”核心标准,标志着等级保护正式进入2.0时代。
等保2.0相较等保1.0,在保护范围、技术标准、安全体系、定级流程、定级指导等方面均提出了更高的要求。
等保2.0发布两年来,各行各业都非常重视等级保护建设,相继出台了行业等级保护政策及标准文件,将网络安全等级保护工作纳入“网络安全和信息化工作重点”,积极推进行业内各单位等级保护工作的开展,极大推动了我国网络安全产业发展,有效维护各行业关键基础设施与网络信息安全。但在具体执行过程中,仍然存在一些问题,如定级流程不规范,等级测评标准不明确、等级测评成本高、安全防护能力不持续等。针对当前存在的问题,各单位、各部门究竟该如何深入贯彻落实网络安全等级保护制度,提升网络和信息系统安全防护力呢?
相关政策文件针对深入贯彻落实网络安全等级保护制度提出下列工作目标:
全面梳理包括云计算、物联网、新型互联网、大数据、智能制造等新技术应用在内的运营者全部网络情况,科学确定保护等级,依法向公安机关备案。对已定级备案网络的安全性进行检测评估,第三级以上网络运营者委托符合国家有关规定的等级测评机构每年开展网络安全等级测评。同步规划、同步建设、同步使用网络安全保护措施,充分利用网络安全服务商提升网络安全保护能力。按照“谁主管谁负责、谁运营谁负责”的原则,厘清网络安全保护边界,建立网络安全等级保护工作责任制。
5.科学开展安全建设整改
加强网络关键人员的安全管理,采购、使用符合国家法律法规和有关标准规范要求的网络产品及服务。
根据等级保护对象在国家安全、经济建设、社会生活中的重要程度,以及遭受攻击破坏后,对国家和人民造成的侵害程度等因素,等保对象的安全保护等级分为以下五级:
第一级,等级保护对象受到破坏后,会对相关公民、法人和其他组织的合法权益造成一般损害,但不危害国家安全、社会秩序和公共利益;第二级,等级保护对象受到破坏后,会对相关公民、法人和其他组织的合法权益造成严重损害或特别严重损害,或者对社会秩序和公共利益造成危害,但不危害国家安全;第三级,等级保护对象受到破坏后,会对社会秩序和公共利益造成严重危害,或者对国家安全造成危害;第四级,等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重危害,或者对国家安全造成严重危害;第五级,等级保护对象受到破坏后,会对国家安全造成特别严重危害。各企业单位可根据其所在行业性质,及可能造成的安全损害程度,明确安全防护等级,合理定级,从而实现成本与效益的最优化。
系统定级:使用单位依照《信息系统安全等级保护定级指南》确定信息系统安全等级,申报系统在新建、改建、扩展立项时需同时向立项审批部门提交定级报告。
2.定级备案
全面梳理所有正式上线运行的网络与系统,完成定级备案,并核实已有备案信息的内容,对不准确、不完整的备案信息予以补正,定级备案完成情况将作为电信主管部门检查评估的重点内容。
3.建设整改
定级系统安全建站整改工作要求在三年时间完成安全管理制度建设、技术措施建设和等级测评等三项重点工作,达到提高信息安全管理水平、增强信息安全防范能力、减少信息安全事故、保障信息化建设发展和维护国家安全利益等五个目标。
4.等级测评
网络管理者应依据网络安全等级保护测评要求等有关标准开展等级测评、风险评估,第三级及以上的网络和信息系统每年开展一次等级测评工作,并对测评中发现的安全问题进行及时整改。
5.监督检查
核实网络和信息系统运营使用、建设单位的等级保护工作开展和落实情况,重点督促、检查安全设施、安全措施、安全管理制度、安全责任、责任部门和人员,并严格落实安全责任制度。等级保护制度不仅是国家的一项基本制度,也是保障国家、企业和用户网络安全的重要举措。各级单位部门应深入贯彻落实等级保护制度的工作目标和方向,以解决等保实施过程中面临的实际问题为导向,细化等保工作各阶段所需服务内容,以实现重点行业、重点企业等保2.0工作的快速全面落实。