5月13日,国家市场监督管理总局、国家标准化管理委员会召开新闻发布会,通报国家标准制定流程改革的有关情况,同时发布了一批重要国家标准。
此次发布的一批重要国家标准中,包括新修订的《信息安全技术 网络安全等级保护基本要求》(下称《基本要求》)、《信息安全技术 网络安全等级保护测评要求》(下称《测评要求》)和《信息安全技术 网络安全等级保护安全设计技术要求》(下称《技术要求》)等三个网络安全领域的国家标准。据悉,《信息系统安全等级保护基本要求》、《信息系统安全等级保护基本要求》、《信息系统安全等级保护基本要求》已被广泛应用于各个行业或领域指导用户开展信息系统安全等级保护的建设整改、等级测评等工作。但随着云计算、互联网、移动互联网、工业控制系统等新技术、新应用的大量涌现,这三项标准亟须修订完善。
在网络安全领域,新修订的《信息安全技术网络安全等级保护基本要求》等系列国家标准,可有效指导网络运营者、网络安全企业、网络安全服务机构开展网络安全等级保护安全技术方案的设计和实施,指导测评机构更加规范化和标准化地开展等级测评工作,进而全面提升网络运营者的网络安全防护能力。
2017年6月1日,《中华人民共和国网络安全法》正式实施。其中第二十一条明确规定,国家实行网络安全等级保护制度,进一步明确网络安全等级保护制度的法律地位。
为顺应当前的网络安全要求,等级保护从原来的“信息安全等级保护”变更为“网络安全等级保护”,标志着实施了10余年之久的信息安全等级保护制度从1.0跨入了2.0的新阶段。
会上,公安部信息安全等级保护评估中心相关负责人陈广勇介绍,相比“等保1.0”,此次新标准的保护对象从信息系统变为网络和信息系统,包括网络基础设施、云计算平台/系统、大数据平台/系统、物联网、工业控制系统、采用移动互联技术的系统等。保障体系由被动防御升级为全方面的主动防御,包括感知预警、动态防护、安全检查、应急响应等。三级以上的评测周期均设定为:一年一次。评测的及格线也由60分提高到75分。
与此对应,《信息安全技术网络安全等级保护基本要求》对每个级别的基本要求均由安全通用要求和安全扩展要求构成。除了“不管等级保护对象形态如何必须满足”的安全通用要求外,还有针对云计算、移动互联、物联网和工业控制系统提出的特殊要求,称为安全扩展要求。
“新标准GB/T 22239-2019体现了综合防御、纵深防御、主动防御思想,规定了第一级到第四级等级保护对象的安全保护的基本要求”,陈广勇说。
