|
5月13日,國(guó)家市場(chǎng)監(jiān)督管理總局、國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)召開(kāi)新聞發(fā)布會(huì),通報(bào)國(guó)家標(biāo)準(zhǔn)制定流程改革的有關(guān)情況,同時(shí)發(fā)布了一批重要國(guó)家標(biāo)準(zhǔn)。 在網(wǎng)絡(luò)安全領(lǐng)域,等保2.0相關(guān)的《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》、《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》、《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》等國(guó)家標(biāo)準(zhǔn)今日正式發(fā)布,2019年12月1日開(kāi)始實(shí)施。此系列標(biāo)準(zhǔn)可有效指導(dǎo)網(wǎng)絡(luò)運(yùn)營(yíng)者、網(wǎng)絡(luò)安全企業(yè)、網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)開(kāi)展網(wǎng)絡(luò)安全等級(jí)保護(hù)安全技術(shù)方案的設(shè)計(jì)和實(shí)施,指導(dǎo)測(cè)評(píng)機(jī)構(gòu)更加規(guī)范化和標(biāo)準(zhǔn)化地開(kāi)展等級(jí)測(cè)評(píng)工作,進(jìn)而全面提升網(wǎng)絡(luò)運(yùn)營(yíng)者的網(wǎng)絡(luò)安全防護(hù)能力,保障網(wǎng)絡(luò)的穩(wěn)定運(yùn)行。 關(guān)于等保2.0的部分新變化如下: 1、結(jié)構(gòu)的變化:將安全管理中心從管理層面提升至技術(shù)層面。 2、要求項(xiàng)數(shù)量的變化 等保2.0第三級(jí)安全要求結(jié)構(gòu): 3、覆蓋范圍的變化 等保2.0標(biāo)準(zhǔn)在1.0標(biāo)準(zhǔn)的基礎(chǔ)上,實(shí)現(xiàn)了對(duì)傳統(tǒng)信息系統(tǒng)、基礎(chǔ)信息網(wǎng)絡(luò)、云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)和工業(yè)控制信息系統(tǒng)等保護(hù)對(duì)象的全覆蓋。 對(duì)于使用新技術(shù)的信息系統(tǒng)需要同時(shí)滿足“通用要求 安全擴(kuò)展”的要求。 4、防護(hù)理念的變化 通用要求方面,等保2.0標(biāo)準(zhǔn)的核心是“優(yōu)化”。刪除了過(guò)時(shí)的測(cè)評(píng)項(xiàng),對(duì)測(cè)評(píng)項(xiàng)進(jìn)行合理性改寫,新增對(duì)新型網(wǎng)絡(luò)攻擊行為防護(hù)和個(gè)人信息保護(hù)等新要求。等保2.0標(biāo)準(zhǔn)依然采用“一個(gè)中心、三重防護(hù)” 的理念,從等保1.0標(biāo)準(zhǔn)被動(dòng)防御的安全體系向事前預(yù)防、事中響應(yīng)、事后審計(jì)的動(dòng)態(tài)保障體系轉(zhuǎn)變,注重全方位主動(dòng)防御、安全可信、動(dòng)態(tài)感知和全面審計(jì)。 5、定級(jí)流程的變化: 等保2.0標(biāo)準(zhǔn)不再自主定級(jí),而是通過(guò)“確定定級(jí)對(duì)象——>初步確定等級(jí)——>專家評(píng)審——>主管部門審核——>公安機(jī)關(guān)備案審查——>最終確定等級(jí)”這種線性的定級(jí)流程,系統(tǒng)定級(jí)必須經(jīng)過(guò)專家評(píng)審和主管部門審核,才能到公安機(jī)關(guān)備案,整體定級(jí)更加嚴(yán)格,將促進(jìn)定級(jí)過(guò)程更加規(guī)范,系統(tǒng)定級(jí)更加合理。 6、測(cè)評(píng)周期的變化: 相較于等保1.0,等保2.0標(biāo)準(zhǔn)測(cè)評(píng)周期、測(cè)評(píng)結(jié)果評(píng)定有所調(diào)整。等保2.0標(biāo)準(zhǔn)要求,第三級(jí)以上的系統(tǒng)每年開(kāi)展一次測(cè)評(píng),修改了原先1.0時(shí)期要求四級(jí)系統(tǒng)每半年進(jìn)行一次等保測(cè)評(píng)的要求。 7、測(cè)評(píng)結(jié)果的變化 等保2.0里,測(cè)評(píng)達(dá)到75分以上才算基本符合。基本分高了,要求變得更高,過(guò)等保相對(duì)以往一是沒(méi)那么容易了,另一點(diǎn)也需要投入更多。 8、集中管控的變化 安全管理中心中對(duì)集中管控做出了明確要求,未來(lái)統(tǒng)一的集中管理平臺(tái)將成為剛需。集中管控具體要求如下: a) 應(yīng)劃分出特定的管理區(qū)域,對(duì)分布在網(wǎng)絡(luò)中的安全設(shè)備或安全組件進(jìn)行管控; b) 應(yīng)能夠建立一條安全的信息傳輸路徑,對(duì)網(wǎng)絡(luò)中的安全設(shè)備或安全組件進(jìn)行管理 c) 應(yīng)對(duì)網(wǎng)絡(luò)鏈路、安全設(shè)備、網(wǎng)絡(luò)設(shè)備和服務(wù)器等的運(yùn)行狀況進(jìn)行集中監(jiān)測(cè); d) 應(yīng)對(duì)分散在各個(gè)設(shè)備上的審計(jì)數(shù)據(jù)進(jìn)行收集匯總和集中分析,并保證審計(jì)記錄的留存時(shí)間符合法律法規(guī)要求; e) 應(yīng)對(duì)安全策略、惡意代碼、補(bǔ)丁升級(jí)等安全相關(guān)事項(xiàng)進(jìn)行集中管理; f) 應(yīng)能對(duì)網(wǎng)絡(luò)中發(fā)生的各類安全事件進(jìn)行識(shí)別、報(bào)警和分析; 9、新技術(shù)要求的變化 對(duì)于等保2.0中可信計(jì)算及密碼技術(shù)的應(yīng)用提出了明確要求,這將很大促進(jìn)可信計(jì)算及密碼技術(shù)的推廣及應(yīng)用。 不得不等創(chuàng)建了一個(gè)“等級(jí)保護(hù)測(cè)評(píng)”知識(shí)星球,這是一個(gè)付費(fèi)加入的知識(shí)分享群。建立這個(gè)星球的初衷:分享與整合各類資源,大家共同成長(zhǎng)。 所有加入等級(jí)保護(hù)測(cè)評(píng)星球的伙伴們,請(qǐng)加我微信:djbhcp,不得不等將拉你加入“等級(jí)保護(hù)測(cè)評(píng)知識(shí)星球VIP群”,與各位大咖暢聊網(wǎng)絡(luò)安全,及時(shí)掌握安全圈最新訊息。
|
|
|
來(lái)自: 卡布卡讓 > 《信息系統(tǒng)等級(jí)保護(hù)》
