[注:文章为电子邮件安全专家Softnext守内安编译]
一、什么是等保2.0
网络安全等级保护已经进入2.0时代,等级保护制度已被打造成新时期国家网络安全的基本国策和基本制度。应急处置、灾难恢复、通报预警、安全监测、综合考核等重点措施全部纳入等保制度并实施,对重要基础设施重要系统以及“云、物、移、大、工”纳入等保监管,将互联网企业纳入等级保护管理。
二、等保2.0与网络安全法的关系
等保2.0的标准是国内非涉密信息系统的安全集成标准,网络安全法是作为法律、中国信息安全的基本法。网络安全法中明确的提到信息安全的建设要遵照等级保护标准来做建设。
网络安全法从立法到配套法律法规的确定完善,到市场上反映出来一定的效果是需要一定的过程的。这个过程在于执法是否落实到位,规定的标准是否真的符合业务安全痛点。目前市场上大部分单位都以合规性建设为主,事实上网络安全法考虑的非常全面,从立法角度来看,如果一步一步按照法律落实好,是一部非常健全的体系,做好了并不只是能达到合规这个价值层面,而是会使业务的风险管控、网络安全能力会上升到一个新的高度。
三、等保2.0与原信息安全等保标准的不同
从名称上来看,原信息安全等保标准叫做信息安全等级保护制度,现在2.0叫做网络安全等级保护制度。这意味着,等级保护上升到了网络空间安全的层面。这个名称的改变意味着等级保护的对象全面升级:之前保护的对象是计算机信息系统,而现在上升到网络空间安全了,除了包含之前的计算机信息系统,还包含网络安全基础设施、云、移动互联网、物联网、工业控制系统、大数据安全等对象。
另外一个重点是等保定级方式的改变,就是等级保护2.0的定级并不是用户自主定级,而是要参照定级指南进行定级,这是需要特别注意的一点。
四、如何做好等保2.0
等保的基本框架包含技术要求和和管理要求,两个核心维度。
等保2.0将等保工作的技术要求和管理要求细分为了更加具体的八大类:物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全;全策略和管理制度、全管理机构和人、安全建设管理、安全运维管理。而等保2.0在以上基本要求之外,提出了云安全、移动互联网安全、物联网安全、工业控制系统安全、大数据安全等网络空间扩展要求,且每个部分都有详细的安全标准。这些都是等保工作需要做的重点工作。
事实上,在等保的规范中,并没有要求使用任何一种产品,它只是要求网络安全空间达到一个什么样的安全程度的标准。但是我们如何去实现这个标准?在达成要求的整个过程中,网络安全产品是最低成本最高效率的路径。
五、管理建议
网络安全法的实施使我们信息安全从业者身上担负的责任更重了,特别是量刑的设立使运营者身上的压力更大,工作属性上升到了新的高度。我们需要做的就是深入的了解网络安全法的要求,了解国家的标准,结合自身的业务去做好安全工作。建议加强应急处置预案的能力和关键信息基础设施的保护。
各单位信息化从业者值得注意的是,网络安全建设的成熟度不意味着网络安全产品数量和种类的堆叠,建议从安全体系的角度合理规划、合理建设、甚至适度精简,将资源和建设能力投放在如何抵御新时代的网络安全风险上,同时建议在信息化建设的同时统筹考虑网络安全的建设,做到同步规划、同步建设、同步执行。
来源:IT168
国际知名电子邮件安全专家Softnext守内安的邮件归档、邮件网关,对邮件进行加密、归档、审计管理,防病毒,层层过滤邮件威胁,降低企业被入侵风险。
Softnext守内安
微信号:Softnext
领取专属 10元无门槛券
私享最新 技术干货