等保涵盖了信息安全管理的各个方面,包括但不限于网络安全、数据安全、应用系统安全和物理安全等方面。
等保的概念早出现在中国的《网络安全等级保护管理办法》中,并在随后的发展和完善过程中得到了广泛的应用和推广。它是网络安全领域的基本国策和基本制度,不仅在中国,在国际上也是一种普遍认可的信息安全管理工作。
网络安全等级保护制度是我国网络安全领域的基本国策、基本制度和基本方法,《网络安全法》出台后,网络等级保护进入2.0时代。2019年5月13日,网络安全等级保护制度2.0标准正式发布,将于2019年12月1日开始实施。
等保2.0标准在1.0标准的基础上,注重全方位主动防御、安全可信、动态感知和全面审计,实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联和工业控制信息系统等保护对象的全覆盖。
等保1.0与2.0的区别
名称变化:等保的标准名称由以前《信息系统安全等级保护基本要求》改为:《网络安全等级保护基本要求》,与《网络安全法》保持一致。
包含对象的变化:等保1.0主要针对体制内的单位,参加测评的大部分都是一些计算机信息系统,到了等保2.0保护对象开始向全社会扩展,更甚至向云、移动互联网、物联网、工业互联网、大数据上扩展,不在是以前单纯的计算机信息系统。现在的等保覆盖范围更广,更加严格。
安全要求的变化:等保1.0只是要求信息系统安全等级保护基本要求,而等保2.0由一个单独的基本要求演变为通用安全加新技术安全扩展要求两大要求,其中安全通用要求是不管等级保护对象形态如何都必须满足的要求,针对云计算、移动互联、物联网和工业控制系统提出了特殊要求,称为安全扩展要求。
控制措施分类结构变化:等保2.0控制措施的分类结构调整,充分体现“一个中心、三重防护”的思想。其中技术部分调整为:安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心。管理部分调整为:安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。
工作内涵变化:等保2.0不仅明确定级、备案、安全建设、等级测评、监督检查等1.0时代的规定动作,主要的是把安全检测、通报预警、案事件调查等措施都将全部纳入等级保护制度并加以实施。
为什么要做等保
1.法律法规要求:《网络安全法》明确规定信息系统运营、使用单位应当按照网络安全等级保护制度要求,履行安全保护义务,如拒不履行,将会受到相应处罚。
2.行业准入要求:在金融、电力、广电、医疗、教育行业,主管单位明确要求企业开展等级保护工作。
3.企业系统安全需求:开展等级保护工作可以发现企业本身信息系统存在的安全隐患和不足,通过安全整改提升信息系统的信息安全防护能力。
级:用户自主保护。无需备案,对测评周期无要求。
第二级:指导保护级。公安部门备案,建议两年测评一次。
第三级:监督保护级。公安部门备案,要求每年测评一次。
第四级:强制保护级。公安部门备案,要求半年一次。
第五级:强制保护级。公安部门备案,依据特殊安全需求进行。