2022等保合規指南 第三篇
山石網科帶你深入走進【等保】
上一篇短文——《等保合規2022系列 | 一個中心+三重防護,助力企業等級保護建設更科學》中介紹了我國等級保護制度的相關内容,相信各位通過等保建設思想與山石網科等級安全整體架構的問答,能夠對等級保護及企業自身安全考慮做等保有什麼價值有了大緻的了解。為了更清晰地展現我國等級保護的發展情況,本文将重點介紹一下等保這些年的“與時俱進”。
綜述
如前文所示,等級保護有近20年的發展曆程,在此期間等級保護制度從無到有,從定級到測評,網絡安全工作逐漸完善,并在各個行業中得到了切實的實踐執行,對我國的網絡安全具有重要的指導作用,全面提高了我國網絡安全建設和安全管理的整體水準,為後續的其他合規體系落地指明了方向。
下面為各位整理介紹一下等級保護制度這20多年演進變化的要點:
從“合規”到“合法”
2017年6月1日,我國首部網絡安全領域基礎性法律檔案《中華人民共和國網絡安全法》正式施行,浩浩蕩蕩的開啟了我國網絡安全法制化的程序。其中第二十一條更是明确:“國家實行網絡安全等級保護制度。網絡營運者應當按照網絡安全等級保護制度的要求,履行下列安全保護義務,保障網絡免受幹擾、破壞或者未經授權的通路,防止網絡資料洩露或者被竊取、篡改”。此前,等級保護制度的最高國家政策是國務院 147 号令,而網絡安全法的出台将等級保護制度上升到了法律的高度。
等級保護對象的變化
等級保護相關标準在堅持“一個中心、三重防護”理念的同時,将保護範圍在傳統網絡的基礎上增加了雲計算、物聯網、移動網際網路和工業控制資訊系統等擴充場景。通過安全技術要求和安全管理要求的設計,為企業建構具備相應等級安全保護能力的網絡安全綜合防禦體系,為新技術應用場景的安全防護指明了道路。
此外如前文所示,保護類型由原來的資訊系統改為現在的基礎資訊網絡(電信網、廣播電視傳輸網、網際網路、業務專網等)、資訊系統(采用傳統技術的和新興技術的)以及資料資源(傳統電子資料及大資料),極大的增強了定級動作的靈活性和可操作性。
等級保護要求的變化
等保2.0标準不再自主定級,而是通過“确定定級對象——>初步确定等級——>專家評審——>主管部門稽核——>公安機關備案審查——>最終确定等級”這種線性的定級流程,系統定級必須經過專家評審和主管部門稽核,才能到公安機關備案,整體定級更加嚴格。
等級保護測評标準變化
2021年6月17日,GA部資訊安全等級保護評估中心針對等保測評報告模闆(2021版)主要修訂的内容組織等保測評機構開展線上教育訓練,要求等保測評機構自6月18日起針對建設過程中的測評項目就需要執行新的标準。
其主要變化包括:
1. 加分法改為缺陷扣分法,即從原有滿足要求加分的測評方式改為不滿足要求扣分的方式。
2. 測評項的重要程度(一般、重要和關鍵項)會導緻在不得分的基礎上扣分,直接影響綜合得分的計算結果。
3. 技術和管理不再一定是各占50%,等級保護工作管理部門能夠通過給出關注系數(y)調整技術、管理占比。
具體評分細則如下:
(摘自【關于轉發《網絡安全等級保護測評報告
模闆(2021版)》的通知】的附件)
- 先計算單個測評項的基準分S (假設y=0.5)
- 一般測評名額:部分符合,扣0.5 × S 分;不符合,扣S分
- 重要測評名額:部分符合,扣1倍S 分;不符合,扣2×S分
- 關鍵測評名額:部分符合,扣1.5 × S 分;不符合,扣3×S分
- 設定關注系數:關注系數統一釋出,明确技術、管理的占比。