11月1日,等保2.0定级指南正式实施!
结合国家政策面上,这几年来对等级保护的强调重点和要求,以及出台相关的政策来看,等级保护已不是仅仅属于网络运营者以及关键信息技术设施运营者们的事,而是上升到法律层面受相关律法的制约,其重要性不言而喻。等级保护制度的实施和落地,不仅有助于中国数字化的进一步发展,同时也带来了网络空间安全的新时代。
一、在“责任共担”中看等保2.0定级重点
截至到2020年6月,我国网民规模达到9.4亿。而承载这些庞大用户数据的业务系统平台等,根据《网络安全法》中第二十一条、五十九条、五十九条(续)里对网络运营者、关键信息基础设施运营者提出的“责任共担”要求,亟需提高对自身平台的定级的重视程度,以及做好相关安全保护举措。
对于11月1日开始实施的等保2.0定级指南,相关运营者们也需要关注。下面,让我们一起重温下等保2.0定级里有哪几点需要注意。
1、等级保护对象范围扩大
在等保1.0 保护定级对象“信息系统”的基础上,等级保护2.0的保护定级对象范围扩大了,新增了通信网络设施和数据资源等。各行各业需要根据自身单位所属哪个类别对象展开对应的等级保护。
企业和单位机构等相关运营者们主动查清自身对应的等级类别,并做好响应的保护措施,不仅保护了用户数据,也保护了自身。
2、等保定级需进行专家评审
在信息化快速发展、信息爆炸的时代背景下,等保1.0的“自主定级、自主保护”定级原则无法满足需求,而等保2.0提出后,需要“规范进行定级”。
从等保2.0定级流程(确定定级对象——>初步确定等级——>专家评审——>主管部门审核——>公安机关备案审查——>最终确定等级)可以看出,等保定级需进行专家评审以及公安机关备案审查,才能最终确定等级。
面对多级定级流程,运营者们在初步对应好自身的等级后,需提前做好相关准备。
3、云平台依旧需要担责
在云计算环境中,很多企业用户误以为“上云”后就不用进行安全保护等级定级。实际上,不管是云资源平台还是云租户侧都需单独作为定级对象。同时云计算平台安全保护等级原则上不低于其承载的业务系统的安全保护等级。
4、等级定级并非一劳永逸
当运营者面临自身业务范围扩大、缩小,或者业务关闭等的情况下,其自身对应的等级也需根据实际情况重新定级。
按原则,三级以上的系统每年要开展等级测评,也就是说四级系统每年至少保证一次等级测评。这也就意味着,等级定级并非一劳永逸。
二、第三方中立云等保2.0安全合规解决方案助力“过保”
等保2.0定级指南的正式实施,也意味着我国对网络安全,尤其是网络数据安全的重视程度加深。加上今年10月份《个人信息保护法(草案)》的公布与公开征求意见,以及国家加大对生活中常见app过度使用用户数据现象的惩处,运营者们可以提前摸清楚等级定级的流程以及具体要求,并做好对应准备,有利于自身过保。
基于目前企业上云以及业务互联网化后所面临的云上安全隐患以及云等保2.0 合规问题,安全狗提出第三方中立云等保2.0安全合规解决方案,全面适配各类公有云、私有云及跨云场景等保合规需求:
一方面提升云上安全检测防护能力;
另一方面围绕云等保合规要求所涉及的网络和通信安全、设备和计算安全、应用和数据安全各层面条款,提供相应的安全防护服务支撑。
通过解决方案提供的等级保护套餐服务,用户可以一键获取满足等级保护二级和等级保护三级所需的安全能力,轻松过等保。同时,基于解决方案全方位构建事前预防、事中响应、事后审计的闭环安全保障体系,各安全组件防护相互联动,策略自动调优,用户真正提升自身的安全防护水平,发挥等保定级的意义。
作为国内领先的云安全厂商,安全狗在业内较早以“等保2.0”标准建设自身产品的安全规范体系,不仅是为了帮助用户符合国家相关标准和法律的要求,更是为了贴近实际的安全需求。
等保建设非一夕之功,安全狗会持之以恒地输出专业的见解和方案,完善用户的安全防护系统,助力国家等级保护建设工作!
来源:freebuf.com 2020-11-10 11:16:08 by: 安全狗safedog
请登录后发表评论
注册