安全合规2--网络安全等级保护2.0介绍
一、等级保护定义
核心目标:根据信息/系统对国家安全、社会秩序、公共利益及公民权益的重要程度,以及遭破坏后的危害程度,划分不同保护等级并实施差异化监管。
划分依据:
受侵害客体(公民权益/社会秩序/国家安全)
侵害程度(一般损害/严重损害/特别严重损害)
二、发展历程
| 时间 | 文件/政策 | 关键内容 |
|---|---|---|
| 1994年 | 国务院147号令 | 首次提出计算机系统实行安全等级保护(第9条) |
| 1999年 | GB 17859 | 强制标准,定义计算机系统安全保护5个等级 |
| 2003年 | 中办发27号文 | 确立信息安全等级保护制度(第2条) |
| 2007年 | 公通字43号文 | 规范等级保护基本内容、流程及工作要求 |
| 2017年 | 《网络安全法》 | 第二十一条:国家实行网络安全等级保护制度; 第三十一条:关键信息基础设施在等保基础上重点保护 |
| 2019年 | 《网络安全等级保护基本要求》 | 标志等级保护2.0时代正式启动 |
三、等级划分规则
定级矩阵
| 受侵害客体 | 一般损害 | 严重损害 | 特别严重损害 |
|---|---|---|---|
| 公民、法人等合法权益 | 第一级 | 第二级 | 第二级 |
| 社会秩序、公共利益 | 第二级 | 第三级 | 第四级 |
| 国家安全 | 第三级 | 第四级 | 第五级 |
注:公民权益受特别严重损害仍定为二级。
等级调整
升级(如2→3级):业务数据/服务范围将大幅变化时允许升级。
降级(如3→2级):需通过专家评审并说明原因。
复测周期:三级系统每年一次,二级系统每两年一次。
四、工作流程
定级 → 2. 备案 → 3. 建设整改 → 4. 等级评测 → 5. 监督检查
定级流程:
确定对象(含云计算、物联网、工业控制等)→ 初步定级 → 专家评审 → 公安机关备案审查 → 最终定级
备案要求:
二级以上系统需在10个工作日内向县级以上公安机关备案。
云平台的备案以运维人员所在地为备案地。
3. 建设整改:
1 合规建设
甲方(信息部门)
集成方:合同方 技术方向工程师
安全服务方:安全咨询(定级备案建设整改协助)
安全厂商:销售产品、售前方案、售后实施、协助
等保测评方:测评发证
专家组:权威
2 安全服务
Mss安全托管服务(大厂、安全服务类公司)奇安星城
4. 等级评测
流程
测评方法
五、等级要求分类结构
按技术与管理分类 ;按保护等级与场景扩展分类
1. 等级保护安全通用要求
2. 等级保护—云平台等保建设
等级保护—云平台扩展要求原则性要求
应确保云计算平台不承载高于其安全保护等级的业务应用系统。
应确保云计算基础设施位于中国境内。
云计算平台的运维地点应位于中国境内,如需境外对境内云计算平台实施运维操作应遵循国家相关规定。
云计算平台运维过程产生的配置数据、鉴别数据、业务数据、日志信息等存储于中国境内,如需出境应遵循国家相关规定。
五、2.0核心变化
扩展定级对象:
新增云计算、物联网、工业控制、大数据、移动互联等系统(原仅信息系统)。
云平台特殊要求:
平台与应用分开定级,平台等级不低于应用等级。
强制境内原则:基础设施、运维地点、数据存储均需位于中国境内。
安全责任边界:
IaaS:云服务商负责硬件/虚拟化层,用户负责OS及以上。
PaaS/SaaS:云服务商责任范围逐级上移。
等级保护2.0是覆盖更广、要求更严的新一代网络安全框架,其核心在于:
动态定级:根据业务变化调整等级,明确云平台/应用独立定级。
强制合规:二级以上系统必须备案,云数据需境内存储。
责任细分:云服务模式(IaaS/PaaS/SaaS)决定安全责任边界。
技术延伸:新增云计算、物联网等扩展要求,强化新型基础设施防护。