深层解读:等保2.0 你准备好了吗?


2017-10-09 16:52:48   出处:中国信息主管网   作者:   评论:0 点击:
近日,由公安部主办的第六届全国网络安全等级保护技术大会在南京举行,国家等级保护体系开始了进一步的明确。
  近日,由公安部主办的第六届全国网络安全等级保护技术大会在南京举行,国家等级保护体系开始了进一步的明确。此次大会提出了哪些等级保护工作的新主题和新重点?作为等级保护相关负责人又该如何去理解和应对?东软集团网络安全事业部资深等级保护咨询专家王华铎,针对等保2.0以及《国家网络安全法》关于等保的新要求为我们进行了深层解读。

 \

  东软集团网络安全事业部资深等级保护咨询专家王华铎

  一、什么是等保2.0

  网络安全等级保护已经进入2.0时代,等级保护制度已被打造成新时期国家网络安全的基本国策和基本制度。应急处置、灾难恢复、通报预警、安全监测、综合考核等重点措施全部纳入等保制度并实施,对重要基础设施重要系统以及“云、物、移、大、工控”纳入等保监管,将互联网企业纳入等级保护管理。

  去年和今年等保大会的一个共同的重点是新等保标准——等保2.0,现在正在征询意见,预计于今年年底或明年年初正式发布。今年等保工作信息化建设的整体思路是紧跟随网络安全法的步伐, 以此为核心延伸出了关键信息基础设施、态势感知平台、应急响应等重点方面的话题。

  对于我们来说等保大会是指引方向的路标,今年是方向感非常强的一年,因为有网络安全法的实施,并伴随着等保2.0的逐渐建立。现在无论在哪个城市,哪个行业进行等保相关的会议,网络安全法和等保2.0都无疑是主旋律。

  二、等保2.0与网络安全法的关系

  等保2.0的标准是国内非涉密信息系统的安全集成标准,网络安全法是作为法律、中国信息安全的基本法。网络安全法中明确的提到信息安全的建设要遵照等级保护标准来做建设。

  网络安全法从立法到配套法律法规的确定完善,到市场上反映出来一定的效果是需要一定的过程的。这个过程在于执法是否落实到位,规定的标准是否真的符合业务安全痛点。目前来看市场上大部分单位都以合规性建设为主,事实上我认为网络安全法考虑的非常全面,从立法角度来看,如果一步一步按照法律落实好,是一部非常健全的体系,做好了并不只是能达到合规这个价值层面,而是会使业务的风险管控、网络安全能力会上升到一个新的高度。

  三、等保2.0与原信息安全等保标准的不同

  从名称上来看,原信息安全等保标准叫做信息安全等级保护制度,现在2.0叫做网络安全等级保护制度。这意味着,等级保护上升到了网络空间安全的层面。这个名称的改变意味着等级保护的对象全面升级:之前保护的对象是计算机信息系统,而现在上升到网络空间安全了,除了包含之前的计算机信息系统,还包含网络安全基础设施、云、移动互联网、物联网、工业控制系统、大数据安全等对象。

  另外还有一个重点,是等保定级方式的改变,这次在等保大会上有一个新的信息,就是等级保护2.0的定级并不是用户自主定级,而是要参照定级指南进行定级,这是各单位需要特别注意的一点。

  四、如何做好等保2.0

  等保的基本框架包含技术和管理,两个核心维度。

  \

\

  如上图所示,等保2.0将等保工作的技术要求和管理要求细分为了更加具体的八大类:物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全;全策略和管理制度、全管理机构和人、安全建设管理、安全运维管理。而等保2.0在以上基本要求之外,提出了云安全、移动互联网安全、物联网安全、工业控制系统安全、大数据安全等网络空间扩展要求,且每个部分都有详细的安全标准。这些都是等保工作需要做的重点工作。

  事实上,在等保的规范中,并没有要求使用任何一种产品,它只是要求你的网络安全空间达到一个什么样的安全程度的标准。但是我们如何去实现这个标准?在达成要求的整个过程中,网络安全产品是最低成本最高效率的路径。

责任编辑:honglei

相关热词搜索:等保

上一篇:东软杨纪文:网安企业发展要提升综合能力
下一篇:最后一页

分享到: 收藏

专题

more>>

2016第九届中国信...

2016第九届中国信息主管年会于12月13日在京召开,本次..

中国软件园区发展...

12月27日,由工业和信息化部信息化和软件服务业司指导..
Email:

藏经楼

more>>

论坛热议

more>>