5月13日,國家市場監督管理總局、國家標準化管理委員會召開新聞發布會,通報國家標準制定流程改革的有關情況,同時發布了一批重要國家標準。
此次發布的一批重要國家標準中,包括新修訂的《信息安全技術 網絡安全等級保護基本要求》(下稱《基本要求》)、《信息安全技術 網絡安全等級保護測評要求》(下稱《測評要求》)和《信息安全技術 網絡安全等級保護安全設計技術要求》(下稱《技術要求》)等三個網絡安全領域的國家標準。據悉,《信息系統安全等級保護基本要求》、《信息系統安全等級保護基本要求》、《信息系統安全等級保護基本要求》已被廣泛應用于各個行業或領域指導用戶開展信息系統安全等級保護的建設整改、等級測評等工作。但隨著云計算、互聯網、移動互聯網、工業控制系統等新技術、新應用的大量涌現,這三項標準亟須修訂完善。
在網絡安全領域,新修訂的《信息安全技術網絡安全等級保護基本要求》等系列國家標準,可有效指導網絡運營者、網絡安全企業、網絡安全服務機構開展網絡安全等級保護安全技術方案的設計和實施,指導測評機構更加規范化和標準化地開展等級測評工作,進而全面提升網絡運營者的網絡安全防護能力。
2017年6月1日,《中華人民共和國網絡安全法》正式實施。其中第二十一條明確規定,國家實行網絡安全等級保護制度,進一步明確網絡安全等級保護制度的法律地位。
為順應當前的網絡安全要求,等級保護從原來的“信息安全等級保護”變更為“網絡安全等級保護”,標志著實施了10余年之久的信息安全等級保護制度從1.0跨入了2.0的新階段。
會上,公安部信息安全等級保護評估中心相關負責人陳廣勇介紹,相比“等保1.0”,此次新標準的保護對象從信息系統變為網絡和信息系統,包括網絡基礎設施、云計算平臺/系統、大數據平臺/系統、物聯網、工業控制系統、采用移動互聯技術的系統等。保障體系由被動防御升級為全方面的主動防御,包括感知預警、動態防護、安全檢查、應急響應等。三級以上的評測周期均設定為:一年一次。評測的及格線也由60分提高到75分。
與此對應,《信息安全技術網絡安全等級保護基本要求》對每個級別的基本要求均由安全通用要求和安全擴展要求構成。除了“不管等級保護對象形態如何必須滿足”的安全通用要求外,還有針對云計算、移動互聯、物聯網和工業控制系統提出的特殊要求,稱為安全擴展要求。
“新標準GB/T 22239-2019體現了綜合防御、縱深防御、主動防御思想,規定了第一級到第四級等級保護對象的安全保護的基本要求”,陳廣勇說。
