A. 什麼是等保2.0
等保2.0全稱網路安全等級保護2.0制度,是我國網路安全領域的基本國策、基本制度。等級保護標准在1.0時代標準的基礎上,注重主動防禦
B. 網路安全等級保護2.0標准正式實施的時間是
2019年12月1日網路安全等級保護2.0國家標準的正式實施,標志著我國網路安全等級保護制度進入了全新時代。作為國家等級保護標准體系的核心標准之一的GB/T 22240-2020《信息安全技術 網路安全等級保護定級指南》(以下簡稱「定級指南」)於2020年4月28日發布,2020年11月1日正式實施。
定級指南規定了非涉及國家秘密的等級保護對象的定級方法和流程,通過指導網路運營者合理劃分定級對象和准確的確定安全保護等級,為後續的安全建設整改、等級測評等工作奠定了良好的基礎。
01 等級保護對象擴大了
等保保護定級對象主要包括:信息系統、通信網路設施和數據資源等
信息系統就是我們在1.0時候的定級對象,指的是各類信息系統;
通信網路設施指的是為信息流通、網路運行等起基礎支撐作用的網路設備設施,主要包括電信網、廣播電視傳輸網和行業或單位的專用通信網等;
數據資源指的是具有或預期具有價值的數據集合,數據資源主要是擁有大量各類有價值的數據,那麼這些單位需要保護好這些數據資源,自然需要對該數據資源進行定級,我們可以想像的這類數據有:人社數據、醫保數據、公積金數據、個人財產數據(銀行、房產、保險等)等信息。
需要注意的是:
當安全責任主體相同時,大數據、大數據平台/系統宜作為一個整體對象定級;
當安全責任主體不同時,大數據應獨立定級;涉及到大量公民個人信息以及為公民提供公共服務的大數據平台/系統,原則上其安全保護等級不低於三級;
不是所有的這類數據都需要獨立去定級,日常中主要存在數據進行集中化後的場景,例如一些地方的大數據局或者政務中心將各行業的一些數據要過來後進行相關應用或使用時應當對這些數據進行獨立定級。
02 定級要素與安全保護等級新關系
當公民、法人和其他組織的合法權益造成特別嚴重損害時依然定為二級。
根據2.0的定級指南中定級要數與安全保護等級的關系表我們發現當公民、法人和其他組織的合法權益造成特別嚴重損害時依然為二級,這塊在徵求意見稿中是第三級。
定級要素與安全保護等級的關系如下:
03 受侵害的客體表現形式有哪些
定級對象受到破壞時所侵害的客體包括國家安全、社會秩序、公眾利益以及公民、法人和其他組織.
侵害國家安全的事項包括以下方面:
1.影響國家政權穩固和領土主權、海洋權益完整;
2.影響國家統一、民族團結和社會穩定;
3.影響國家社會主義市場經濟秩序和文化實力;
4.其他影響國家安全的事項。
侵害社會秩序的事項包括以下方面:
1.影響國家機關、企事業單位、社會團體的生產秩序、經營秩序、教學科研秩序、醫療衛生秩序;影響公共場所的活動秩序.公共交通秩序;
2.影響人民群眾的生活秩序;
3.其他影響社會秩序的事項。
侵害公共利益的事項包括以下方面:
1.影響社會成員使用公共設施;
2.影響社會成員獲取公開數據資源;
3.影響社會成員接受公共服務等方面;
4.其他影響公共利益的事項。
業務信息安全和系統服務安全受到破壞後,可能產生以下侵害後果:
1.影響行使工作職能;
2.導致業務能力下降;
3.引起法律糾紛;
4.導致財產損失;
5.造成社會不良影響;
6.對其他組織和個人造成損失;
7.其他影響。
侵害公民法人和其他組織的合法權益是指受法律保護的公民.法人和其他組織所享有的社會權利和利益等受到損害。
確定受侵害的客體時.首先判斷是否侵害國家安全,然後判斷是否侵害社會秩序或公眾利益.最後判斷是否侵害公民,法人和其他組織的合法權益。
04 定級新流程
對於新建網路、運營者應當依照等級保護相關法律法規要求和本標准,在規劃設計階段確定其安全保護等級;對於跨省或者全國統一聯網運行的網路可以由行業主管(監管)部門統一組織定級工作。安全保護等級初步確定為第二級及以上的等級保護對象,其運營者應當依據標准要求分別進行專家評審、主管部門核准和公安機關備案審核,最終確定其安全保護等級。
定級中的一般工作流程:
專家評審:定級對象的運營、使用單位應組織信息安全專家和業務專家等,對初步定級結果的合理性進行評審,並出具專家評審意見 。
主管部門審批:定級對象的運營、使用單位應將初步定級結果報請行業主管(監管)部門核准,並出具核准意見。
公安機關審核:定級對象的運營、使用單位應按照相關管理規定,將初步定級結果提交公安機關進行備案審查,審查不通過,其運營使用單位應組織重新定級;審查通過後最終確定定級對象的安全保護等級。
企業合規通過等保2.0,完成備案審核後還需通過整改建設、等級評測的工作流程。
網堤安全一站式等保合規解決方案
等級保護的各個階段有著不同的工作重點,網堤安全憑借著深厚的技術實力和豐富的安全服務項目經驗,針對等級保護各個階段同時可提供專業的等保咨詢服務、安全防護產品、安全技術服務和安全運營服務。為各行業、各種場景的安全等級保護建設、提供全流程的保駕護航。
法律依據:
《網路安全法》第二十一條規定:
國家實行網路安全等級保護制度。網路運營者應當按照網路安全等級保護制度的要求,履行下列安全保護義務,保障網路免受干擾、破壞或未經授權的訪問,防止網路數據泄漏或者被竊取、篡改。
C. 等級保護2.0國家標准
法律分析:等級保護2.0標准體系主要標准如下:1.網路安全等級保護條例2.計算機信息系統安全保護等級劃分准則3.網路安全等級保護實施指南4.網路安全等級保護定級指南5.網路安全等級保護基本要求6.網路安全等級保護設計技術要求7.網路安全等級保護測評要求8.網路安全等級保護測評過程指南。
法律依據:《中華人民共和國網路安全法》
第二十一條 國家實行網路安全等級保護制度。網路運營者應當按照網路安全等級保護制度的要求,履行下列安全保護義務,保障網路免受干擾、破壞或者未經授權的訪問,防止網路數據泄露或者被竊取、篡改:
(一)制定內部安全管理制度和操作規程,確定網路安全負責人,落實網路安全保護責任;
(二)採取防範計算機病毒和網路攻擊、網路侵入等危害網路安全行為的技術措施;
(三)採取監測、記錄網路運行狀態、網路安全事件的技術措施,並按照規定留存相關的網路日誌不少於六個月;
(四)採取數據分類、重要數據備份和加密等措施;
(五)法律、行政法規規定的其他義務。
第三十一條 國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施,在網路安全等級保護制度的基礎上,實行重點保護。關鍵信息基礎設施的具體范圍和安全保護辦法由國務院制定。
國家鼓勵關鍵信息基礎設施以外的網路運營者自願參與關鍵信息基礎設施保護體系。