等级保护有近20年的发展历程,在此期间等级保护制度从无到有,从定级到测评,网络安全工作逐步完善,并在各个行业中得到了切实的实践执行,对我国的网络安全具有重要的指导作用,全面提高了我国网络安全建设和安全管理的整体水平,为后续的其他合规体系落地指明了方向。
下面为各位整理介绍一下等级保护制度这20多年演进变化的要点:
从“合规”到“合法”
2017年6月1日,我国首部网络安全领域基础性法律文件《中华人民共和国网络安全法》正式施行,浩浩荡荡的开启了我国网络安全法制化的进程。其中第二十一条更是明确:“国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改”。此前,等级保护制度的最高国家政策是国务院 147 号令,而网络安全法的出台将等级保护制度上升到了法律的高度。
等级保护对象的变化
等级保护相关标准在坚持“一个中心、三重防护”理念的同时,将保护范围在传统网络的基础上增加了云计算、物联网、移动互联网和工业控制信息系统等扩展场景。通过安全技术要求和安全管理要求的设计,为企业构建具备相应等级安全保护能力的网络安全综合防御体系,为新技术应用场景的安全防护指明了道路。
保护类型由原来的信息系统改为现在的基础信息网络(电信网、广播电视传输网、互联网、业务专网等)、信息系统(采用传统技术的和新兴技术的)以及数据资源(传统电子数据及大数据),极大的增强了定级动作的灵活性和可操作性。
等级保护要求的变化
等保2.0标准不再自主定级,而是通过“确定定级对象——>初步确定等级——>专家评审——>主管部门审核——>公安机关备案审查——>最终确定等级”这种线性的定级流程,系统定级必须经过专家评审和主管部门审核,才能到公安机关备案,整体定级更加严格。
等级保护测评标准变化
2021年6月17日,GA部信息安全等级保护评估中心针对等保测评报告模板(2021版)主要修订的内容组织等保测评机构开展线上培训,要求等保测评机构自6月18日起针对建设过程中的测评项目就需要执行新的标准。
其主要变化包括:
- 加分法改为缺陷扣分法,即从原有满足要求加分的测评方式改为不满足要求扣分的方式。
- 测评项的重要程度(一般、重要和关键项)会导致在不得分的基础上扣分,直接影响综合得分的计算结果。
- 技术和管理不再一定是各占50%,等级保护工作管理部门能够通过给出关注系数(y)调整技术、管理占比。
对企业的影响
根据谁主管谁负责、谁运营谁负责、谁使用谁负责的原则,网络运营者成为等级保护的责任主体。当前标准政策下,如何快速高效地通过等级保护测评成为企业开展业务前必须思考的问题。
等级保护的“与时俱进”无论对用户、厂商、监管者来讲都是一个较大的课题和挑战。尤其对企业用户来讲,在直面等级保护2.0的合规压力之下,更需在深刻了解等级保护要求的基础上不断改善自己的安全能力,从而适应日趋复杂的网络环境。相信等级保护制度的不断完善必将使我国的网络安全防护水平得到稳步提升,为数字经济发展筑牢安全屏障的同时,守护人民利益,护航国家安全。
