等级保护2.0详解

作者:噢易云    发布时间:2020-04-20 18:33

2007—2017年是我国等级保护1.0时代

 

我国的等级保护制度可以追朔到上一个世纪的九十年代。早在1994年国家就颁布了《中华人民共和国计算机信息系统安全保护条例(国务院147号令)》,确定了我国实行等级保护制度。并明确规定这是国家在国民经济和社会信息化的发展过程中的一项基本制度,是信息安全保障工作国家管理意志的体现。国务院147号令的第二章第九条规定:计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。

 

1999年,我国颁布了强制性国家标准《计算机信息系统安全保护等级划分准则》(GB178591999,此后在国信办,国家发改委和科技部的支持下,公安部开展了一系列的工作。2007,由公安部牵头会同保密局、密码局等正式开始部署实施信息安全等级保护制度,可以说,2007—2017年是我国等级保护1.0时代。

 

这个阶段,公安部重点开展了等级保护的定级、备案、测评、整改和监督检查五项工作,制定等级保护的政策、标准,引领各行业部门贯彻落实等级保护制度。摸清了家底同时也实现了政策方面引领,建立了第三方测评机构队伍并实施了较完善的培训和管理,取得了产业方面更多的支撑。

 

总的来看,这阶段的等级保护工作为我国信息网络安全的保护工作建立了一个根据信息系统对于国家、社会、团体和公众的重要程度来确定其应该达到安全要求的规范,是一个现实可行的管理方略。等保的建立,建立了我国对于信息系统基于合规管理的一系列支持基础。

 

等级保护2.0翻开了我国网络安全管理的新篇章

 

近年来,信息化技术和应用的发展突飞猛进,以云计算、移动网络、物联网、大数据、智能化和工业互联网、区块链等等为代表的各项新技术新应用将我们推到了一个全新的数字化网络化的世界。等级保护也步入了一个新的阶段——等级保护2.0时代等级保护标准2.0是根据当前的网络安全的形势变化、任务要求和整个技术的发展,重新审视等级保护制度,从四个方面提出了新的政策和要求。

 

首先,201761号我国正式开始实施的《中华人民共和国网络安全法》第21条明确规定了国家实行网络安全等级保护制度;同时,《网络安全法》在第三章第二节就保障关键信息基础设施的运行安全进行了较详细的规制,规定了在网络安全等级保护制度的基础上,对关键信息基础设施实施重点保护。这就将网络安全等级保护和关键信息基础设施的保护上升到了法律责任的层面:按照网络安全等级保护和关键信息基础设施保护的要求履行网络安全的义务,是国家法律规定的基本义务。

 

第二,等级保护2.0网络安全等级保护监管的对象进行了很大的扩充,以前更多的是面向传统的信息系统,现在是关注包括云平台、移动网络、物联网、大数据、工业控制系统等所有新应用的全面安全。
 

第三,完善了网络安全等级保护的措施,这是等级保护2.0的核心。原来《信息安全等级保护管理办法》是由四部委经国务院批准颁布的法规,执行上重视的是等级保护的定级、备案、测评、整改等工作。2.0时代,公安部牵头制定《网络安全等级保护条例》,经中央网信办协调保密局、密码局达成一致并征求社会各界意见后报国务院和国家有关机构进入立法程序。一经国家依法审批即将作为网络安全法的下位法颁布执行。
 

第四,修订了2008年出台的包括等级保护的基本要求,安全设计技术要求,等级保护的测评要求等一系列标准。2.0的标准涵盖了云计算、大数据、物联网、移动互联工业控制系统等安全等级保护的标准。制定了全新的工作机制,包括等级保护协调机制,密切跟行业主管部门的沟通协作的相应的机制,并强调充分发挥测评机构、服务机构、科研院所等方面的作用和力量,推动整个网络安全等级保护制度的落实,进一步加强整体的安全防护。

 

1.0时代相比,等级保护2.0有以下新特点:

一是将网络安全等级保护和关键信息基础设施的保护上升到了法律责任的层面;

二是监管的对象进行了很大的扩充,以前更多的是面向传统的信息系统,现在是关注包括云平台、移动网络、物联网、大数据、工业控制系统等所有新应用的全面安全;

三是完善了网络安全等级保护的措施,公安部牵头制定《网络安全等级保护条例》,经中央网信办协调保密局、密码局达成一致并征求社会各界意见后报国务院和国家有关机构进入立法程序;

四是修订了2008年出台的包括等级保护的基本要求,安全设计技术要求,等级保护的测评要求等一系列标准,并制定了全新的工作机制,包括等级保护协调机制,密切跟行业主管部门的沟通协作的相应的机制。

 

内容来源:尖锋讲堂

本文地址:
相关热门新闻

业务
合作