日期:2023-02-07 分类:常见问题 浏览:1536 来源:黑龙江亿林网络股份有限公司
答:全称是“网络安全等级保护”,是对信息和信息载体按照重要性等级分级别进行保护的一种工作,将全国的信息系统(包括网络)按照信息系统的业务信息和系统服务被破坏后,对受侵害客体的侵害程度分成五个安全保护等级(从第一级到第五级逐级增高),主要内容如下:
1对信息系统分等级进行安全保护和监督;
2对信息安全产品分等级进行管理,
3 对信息安全事件分等级进行响应和处置。
像等级越高,进行保护和监管制度越高,响应和处置等级就越高。
2广电,教育,电力等行业是由上而下有发布文件展开工作,不做就会被问责
答:《中华人民共和国网络安全法》第五十九条:
网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
答:根据公安文件要求的时间开展测评工作,如果还没有定级则根据定级要求和流程,先向公安递交定级备案文件,预算纳入下一年度工作计划,在经费未落实前,可以先进行系统了解,系统加固配合工作。
定级专家评审时间:每季度或每半年(或不定期),由公安组织专家评审。
答:随着信息技术的发展和网络安全形势的变化,等保1.0要求已无法有效应对新的安全风险和新技术应用所带来的新威胁,等保1.0被动防御为主的防御无法满足当前发展要求,因此急需建立一套主动防御体系。
等保2.0全称【网络安全等级保护2.0制度】是我国网络安全领域的基本国策、基本制度。等级保护标准在1.0时代标准的基础上,注重主动防御,从被动防御到事前、事中、事后全流程的安全可信、动态感知和全面审计,实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联网和工业控制信息系统等级保护对象的全覆盖。
答:1.标准依据的变化
从条例法规提升到法律层面。等保1.0的最高国家政策是国务院147号令,而等保2.0标准的最高国家政策是网络安全法,其中《中华人民共和国网络安全法》第二十一条要求,国家实施网络安全等级保护制度;第二十五条要求,网络运营者应当制定网络安全事件应急预案;第三十一条则要求,关键基础设施,在网络安全等级保护制度的基础上,实行重点保护;第五十九条规定的网络安全保护义务的,由有关主管部门给予处罚。因此不开展等级保护等于违法。
2.标准要求变化
等级2.0在1.0基本上进行了优化,同时对云计算、物联网、移动互联网、工业控制、大数据新技术提出了新的安全扩展要求。在使用新技术的信息系统需要同时满足“通用要求+扩展要求”。且针对新的安全形势提出了新的安全要求,标准覆盖度更加全面,安全防护能力有很大提升。
通用要求方面,等保2.0标准的核心是优化。删除了过时的测评项,对测评项进行合理改写,新增对新型网络攻击行为防护和个人信息保护等新要求,调整了标准结构、将安全管理中心从管理层面提升至技术层面。
扩展要求扩展了云计算、物联网、移动互联网、工业控制、大数据。
3.安全体系变化
等保2.0相关标准依然采用“一个中心、三重防护”的理念,从等保1.0被动防御的安全体系向事前防御、事中相应、事后审计的动态保障体系转变。建立安全技术体系和安全管理体系,构建具备相应等级安全保护能力的网络安全综合防御体系,开展组织管理、机制建设、安全规划、通报预警、应急处置、态势感知、能力建设、监督检查、技术检测、队伍建设、教育培训和经费保障等工作。
4.等级规定动作
保护定级、备案、建设整改、等级测评、监督检查的实施过程中,等保2.0进行了优化和调整。
1)定级对象的变化
等保1.0定级的对象是信息系统,等保2.0的定级对象扩展至基础信息网络、工业控制系统、云计算平台、物联网、使用移动互联技术的网络、其他网络以及大数据等多个系统平台,覆盖面更广。
2)定级级别的变化
公民、法人和其他组织的合法权益产生特别严重损害时,相应系统的等级保护级别从1.0的第二级调整到了第三级(根据GA/T1389)。
3)定级流程的变化
等保2.0标准不再自主定级,二级及以上系统定级必须经过专家评审和主管部门审核,才能到公安机关备案,整体定级更加严格。
4)测评合格要求提高
相较于等保1.0,等保2.0测评的标准发生了变化,以前4级系统半年要测评一次,现在3级及以上系统每年做一次。1.0里60分以上算及格,2.0中测评结论分为:优(90分及以上)、良(80分及以上)、中(70分及以上)、差(低于70分),70分以上才算基本符合要求,基本分调高了,测评要求更加严格。
下一篇: 计算机网络安全常见问题
