• 公司产品
  • 工控安全类
  • 安全实验室类
  • 安全监管类
  • 检测防御类
  • 安全评估类

您的位置: 首页  >  动态资讯  >  安全服务资讯

09-25   ———
等级保护2.0 解读与应对
等级保护2.0适应新技术带来的网络环境变化,规范云计算、物联网、移动互联和工业控制领域的等级保护工作,贯彻落实网络安全法。

国务院于1994年正式颁布了《中华人民共和国计算机信息系统安全保护条例》,首次提出计算机信息系统实行安全等级保护,四部委于2007年颁布《信息安全等级保护管理办法》,此后在2008年到2012年期间,国家陆续颁布了系列法律,统称为等级保护1.0系列。


《中华人民共和国网络安全法》于2017年正式实施,其中第21条明确提出国家实行网络安全等级保护制度,随后,等级保护2.0国家标准草稿陆续发布,公开征求意见。2019年5月13日,国家市场监督管理总局、国家标准化管理委员会召开新闻发布会,正式发布了等级保护2.0核心国家标准,包括《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求 》、《GB/T 25070-2019 信息安全技术 网络安全等级保护安全设计技术要求》和《GB/T 28448-2019 信息安全技术 网络安全等级保护测评要求》。


等级保护2.0适应新技术带来的网络环境变化,规范云计算、物联网、移动互联和工业控制领域的等级保护工作,贯彻落实网络安全法。为帮助相关行业深入了解等级保护2.0系列标准、顺利开展等级保护合规建设工作,毕马威对等级保护2.0进行了重点解读,并为企业等级保护建设工作提出合规路径建议。


等级保护2.0系列标准适用于对在中国境内建设、运营、维护、使用网络的监督管理。本刊物从等级保护2.0的发展历程入手,分别从“是什么”、“新挑战”和“合规建议”几个方面,重点解析企业应如何理解和应对。


等级保护2.0是什么?


《网络安全等级保护条例(征求意见稿)》(简称“等保条例”)是依据网络安全法第21条“国家实行网络安全等级保护制度”的要求制定的行政法规,其与等级保护2.0系列国家标准文件(简称“等级保护2.0系列标准”),均为确立网络安全等级保护制度的重要配套法规。


等级保护2.0带来新挑战


等保条例在网络安全法规定的网络运营者安全保护义务的基础上,对网络运营者针对不同安全保护等级网络的安全保护义务作了明确、细化的要求,这是等级保护2.0作为“条例”的新变化,既是公安部门的监管重点,也是网络运营者等保建设和测评的重点。


网络运营者应参照等级保护2.0相关标准的要求:


  • 梳理出定级对象并合理确定其安全保护等级、安全责任单位和具体责任人;

  • 开展网络定级备案、安全建设整改、等级测评和自查等工作;

  • 落实相关管理和技术措施,履行安全保护义务。


等级保护2.0政策标准体系


TIM截图20190927110425.png

▲注1:在《信息安全等级保护管理办法》的基础上,公安部会同有关部门起草了《网络安全等级保护条例(征求意见稿)》。 《信息安全等级保护管理办法》为现行有效的管理办法, 《网络安全等级保护条例(征求意见稿)》为新条例,目前仍在公开征求意见中。

注2:部分等保2.0系列国家标准仍在进一步修订并将陆续发布。


等级保护2.0新变化


等级保护2.0在监管和实施流程上与等级保护1.0相比有较大的变化,整体体现为“宽”和“严”两个字。


等级保护合规途径


企业应依据网络安全等级保护合规性要求,开展等级保护建设工作,以有效规避企业所面临的网络安全风险。