网络安全等级保护新国标“靴子落地”

【业内动态】

《信息安全技术网络安全等级保护基本要求》正式发布

网络安全等级保护新国标“靴子落地”

本报讯我国网络安全等级保护工作正式进入“2.0时代”。

日前，国家市场监督管理总局、国家标准化管理委员会召开新闻发布会，正式发布新修订的《信息安全技术网络安全等级保护基本要求》（以下简称《基本要求》）以及与之配套的《信息安全技术网络安全等级保护测评要求》和《信息安全技术网络安全等级保护安全设计技术要求》。新标准实施时间为2019年12月1日。

网络安全等级保护一系列新国家标准（以下简称等保2.0）的发布，标志着实施了十余年之久的信息安全等级保护制度正式进入2.0时代。等保2.0沿用了传统等级保护的5个监管动作：定级、备案、建设整改、等级测评和监督检查。除了常规的5个监管动作外，等保2.0标准还将风险评估、安全检测、通报预警、数据防护、自主可控、供应链安全、效果评价等方面工作都纳入了等级保护范围内。

同时，等保2.0沿用了传统等级保护的“5个等级”。在覆盖范围上，等保2.0将等级保护对象从信息系统扩展到网络基础设施、云计算平台、大数据平台、物联网等。在定级流程方面，自主定级成为过去式，等保2.0要求系统定级必须经过专家评审和主管部门审核，才能到公安机关备案，整体定级更加严格。测评周期方面，等保2.0要求三级以上系统每年开展一次测评，修改了原先四级系统每半年进行一次等保测评的要求。测评结果则要求达到75分以上才算基本符合。

据了解，一直以来，我国在信息安全保护方面主要依据2007年和2008年颁布实施的《信息安全等级保护管理办法》和《信息安全等级保护基本要求》。传统等级保护主要强调物理安全、主机安全、数据安全，而等保2.0在对传统等级保护进行优化的同时，进一步适应新技术的发展。相较于传统等级保护，在等保2.0标准体系中，每一等级除通用要求外，均新增了云计算安全、移动互联安全、物联网安全、工业控制系统安全和大数据安全这5个扩展要求。

等保2.0作为一个普适性的制度，范围更广、力度更大，不再只针对党政机关重要部门和央企、国企等重点企业，所有网络运营者都要落实。因此，等保2.0涉及政府机关、金融、电信运营商、能源、企业单位、互联网、游戏等诸多行业。上述行业应根据各自责任落实相应技术措施。根据谁主管谁负责、谁运营谁负责、谁使用谁负责的原则，网络运营者成为等级保护的责任主体，如何快速高效地通过等级保护测评成为企业开展业务前必须思考的问题。

值得一提的，在等保2.0时代，防护理念方面，则要求运营者从以往的被动防御转为全方位主动防御，做到感知预警、动态防护、安全检测、应急响应。

（程红琳）

本报拥有此文版权，若需转载或复制，请注明来源于中国政府采购报，标注作者，并保持文章的完整性。否则，将追究法律责任。