2019年12月《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)正式实施,标志着等保2.0时代正式开始。等保2.0与以前的标准相比,覆盖范围广,细节控制也更加严格。网络安全等级保护2.0时代企业要做好等待保护工作,必须注意以下五个变化:
1.名称的变化
为配合落实网络安全等级保护制度,更名为《网络安全等级保护基本要求》。企业也应当在安全等级保护方面注重网络防护,将信息系统安全逐步统一为网络安全。
2.对象的变化
等级保护对象由原来的信息系统调整为基础信息网络、信息系统、云计算平台、大数据平台、物联网和工业控制系统等,等保对象更加具体化。
3.整体要求的变化
等保2.0工作更具针对性。安全通用要求要求企业需要总体考虑,等级保护对象形态必须满足等保评价。
4.技术要求的变化
等保2.0中要求“安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心”。更好地反映了从外到内的深度防御思想。指导企业从通信网络到络到地区边界到计算环境的整体防护,兼顾其所在物理环境的安全性。
5.管理要求的变化
管理要求方面体现了综合管理思想,通过“安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理”指导企业构建完善安全管理体系,同时要求企业对系统建设整改过程中和运行维护过程中的重要活动实施控制和管理。
对企业而言,等保2.0指出的网络安全等级保护,是必须去做到的。但是,企业可以根据自己的情况,选择等保测评。例如等保二级、等保三级等。
需要企业特别注意的是,等级保护对象的安全保护措施必须同时满足安全通用要求和安全扩展要求,才能满足等级保护对象的新要求。
