2019年12月《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)正式实施,标志着等保2.0时代已经正式开启,企业应该如何应对等保新变化是2020年必须面对网络安全课题。
等保基本要求1.0版在我国推行信息安全等级保护制度的过程中起到了非常重要的作用,被各行业领域广泛应用,有效指导企业开展了信息系统安全等级保护的建设、整改与测评等工作。但信息技术持续快速发展,已使用10年的等保要求在易用性和可操作性上都亟需进一步完善。
在此情况下,等保2.0编制工作于2014年正式启动,编制工作组对国内外新技术、新应用的使用情况进行了充分调研分析,总结了云计算平台、移动互联接入、物联网和工业控制系统等新技术的安全关注点和安全控制要素,先后历时5年,最终新标颁布实施。
等保2.0相较于之前的标准,无论是在总体结构方面还是在细节内容方面均发生了很大变化,企业要做好2.0背景下的等保工作,必须注意如下5个变化:
1.名称的变化
为适应2017年实施的网络安全法,配合落实网络安全等级保护制度,标准的名称由原来的《信息系统安全等级保护基本要求》改为《网络安全等级保护基本要求》。企业也应适时调整,将信息系统安全逐步统一为网络安全。
2.对象的变化
等级保护对象由原来的信息系统调整为基础信息网络、信息系统、云计算平台、大数据平台、物联网和工业控制系统等,等保对象更加明确具体,企业可以根据信息系统的特性和实际应用情况,对相关系统合并定级,减少不必要的重复工作。
3.整体要求的变化
安全要求分为了安全通用要求和安全扩展要求,等保工作更具针对性,针对安全通用要求企业需要总体考虑,不管等级保护对象形态如何必都须满足的。
而准对安全扩展要求,企业则需要根据云计算安全扩展、移动互联、物联网安全以及工业控制系统在信息系统中的应用情况,分别落实云计算扩展要求、移动互联扩展要求、物联网扩展要求和工业控制系统扩展要求的保护措施。
4.技术要求的变化
原技术要求中的“物理安全、网络安全、主机安全、应用安全、数据安全和备份与恢复”修订为“安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心”。更好地体现了从外部到内部的纵深防御思想。指导企业开展从通信网络到区域边界再到计算环境的整体防护,并兼顾其所处的物理环境的安全性。
5.管理要求的变化
原管理要求的“安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理”修订为“安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理” 充分体现了从要素到活动的综合管理思想。指导企业从“机构”、“制度”和“人员”三要素构建安全管理体系,同时要求企业对系统建设整改过程中和运行维护过程中的重要活动实施控制和管理。
对企业而言,等保2.0划分安全通用要求和安全扩展要求使得新标准更具灵活性和针对性,新的技术要求与管理要求也更加明晰。企业可以根据等保对象采用的技术情况,应用相适宜的保护措施。
通用要求解决共性问题,无论等级保护对象的形式如何,都必须根据保护等级达到相应级别的安全要求。扩展要求解决个性问题,要根据保护等级、使用的特定技术或特定应用场景落实扩展要求。
需要企业特别注意的是,等级保护对象的安全保护措施必须同时满足安全通用要求和安全扩展要求,才能符合等保的新要求。
例如,传统的自动化办公系统只需要采用安全通用要求提出的保护措施,但采用云计算平台的数字工厂管理系统不仅需要采用安全通用要求提出的保护措施,而且必须根据云计算平台的技术特点采用云计算安全扩展要求提出的保护措施,另外,还需要针对工业控制系统的技术特点采用工业控制系统安全扩展要求提出的保护措施。