工控安全“等保2.0”———你不得不知道的十件事
发布时间:
2019-05-23
来源:
作者:
访问量:
45
2019年5月13日下午,“等保2.0”在国家市场监督管理总局召开的新闻发布会上正式发布,并确定于2019年12月1日正式实施。那么对于关心、关注此标准的个人、企业,尤其是工业控制领域的信息技术人员、工程师、企业负责人等,小编在此为您总结了关于“等保2.0”——你不得不知道的10件事。
No.1
你知道等保2.0的“真名”吗?
“等保2.0”其实是对于“等保1.0”而言的,后者指的是2007年和2008年颁布实施的《信息安全等级保护管理办法》和《信息安全等级保护基本要求》,而“等保2.0”,将标准更名为《信息安全技术网络安全等级保护基本要求》,更是与《中华人民共和国网络安全法》中的相关法律条文和标准保持了一致性。
No.2
“等保2.0”保护谁?
开展等级保护工作首先需要能够明确等级保护对象,在等保1.0中定义的的等级保护对象为“信息安全等级保护工作直接作用的具体信息和信息系统”,而随着信息技术的快速发展和网络威胁向工业控制系统的蔓延,等保2.0为应对这种趋势,将等级保护对象,在包括基础信息网络的基础上,通过扩展要求和附录的形式,增加了云计算、物联网、移动互联、工业控制系统、大数据五大新兴应用场景的覆盖。
No.3
“等保2.0”的设计核心理念
记住这句话准没错,一个中心,三重防御,一个中心指“安全管理中心”,三重防御指“安全计算环境、安全区域边界、安全网络通信”,这个设计理念也是指导我们进行等级保护建设的核心依据,完成了从被动防御的安全体系向事前预防、事中响应、事后审计的动态保障体系转变。
No.4
增加可信计算新技术
等保2.0标准首次引入可信计算,在安全通信网络、安全区域边界、安全计算环境都增加了可信验证的要求。
No.5
基本要求的内容变化和分类变化
在等保2.0中,各个级别的安全要求调整为安全通用要求、云计算安全扩展要求、物联网安全扩展要求和工业控制系统安全扩展要求。分类由技术要求(物理安全、网络安全、主机安全、应用安全、数据安全)、管理要求(安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理),修改为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理,不在刻意强调技术要求和管理要求。
另外,对于通用要求中对应级别的各分类具体要求项有所减少
No.6
如果公司,企业想进行等保定级,是怎样的流程?
等保2.0标准不再自主定级,而是通过“确定定级对象——>初步确定等级——>专家评审——>主管部门审核——>公安机关备案审查——>最终确定等级”这种线性的定级流程,系统定级必须经过专家评审和主管部门审核,才能到公安机关备案,整体定级更加严格。
No.7
之前已经做过等保测评,是不是等保2.0就和我们没关系了?
这是一个非常常见的错误,也是和各企业息息相关的内容,相较于等保1.0,等保2.0标准测评周期、测评结果评定有所调整。等保2.0标准要求,第三级以上的系统每年开展一次测评,测评达到75分以上才算基本符合要求。基本分高了,要求更严苛了。
No.8
有法可依,有责必究,合规不再应只是纸上谈兵
《网络安全法》第二十一条要求,国家实施网络安全等级保护制度;第二十五条规定,网络运营者应当制定网络安全事件应急预案;第三十一条要求,关键信息基础设施,在网络安全等级制度的基础上,实行重点保护;第五十九条明确提出了一旦违法将会收到相应的处罚。因此,在等保2.0实施之后,不开展等级保护等于违反《网络安全法》,有关主管部门将以及法律规定进行处罚。
No.9
工控领域的等保形势
自2010年“震网”事件以来,针对工业控制领域的网络攻击事件与日俱增,工控系统早已不是大家潜意识中毫无风险的“世外桃源”,而能源行业,钢铁冶金,轨道交通,智能制造等关系国计民生的关键信息基础设施,是等级保护的重点保护对象,应当予以足够重视并在等保2.0的要求下不断提升自身的网络安全保护能力,在合法合规的基础上,真正由“被动”变“主动”。
No.10
作为企业,我该如何采取行动?
简(ci)而(chu)言(ying)之(guang),找专业的人,一起做专业的事。北京天地和兴科技有限公司成立于2007年,是专业从事工业控制系统信息安全防护、检测分析、安全评估与咨询服务的国家级高新技术企业。公司承接国家能源局工控信息安全示范项目的建设与实施,产品解决方案已成功应用于电力、石油、石化、钢铁冶金和轨道交通、智能制造等三百余家工业企业,用户遍布全国29个省级行政区,并在2019年入选第一批工业信息安全应急服务支撑单位,致力于提供全生命周的工控安全解决方案。
而等保2.0的正式发布,势必将引领与加速我国网络安全建设,天地和兴也将继续全力以赴,砥砺前行,助力工控企业的等级保护与网络安全发展,不断践行企业的核心价值观:精于工控安全,护卫大国重器!
相关资讯
