网络安全等级保护2.0标准解读(三)
一、等保2.0实施要求
等级保护在具体实施环节共分为5步:定级——备案——建设整改——等级测评——监督检查,等保2.0标准对这5个环节进行了优化和调整:
1. 定级
等保2.0的定级,不是自主定级,而是采取以国家行政机关持续监督的“明确等级、增强保护、常态监督”方式进行定级。
等保2.0标准定级程度划分
修改后的定级工作包括5个环节:确定定级对象——初步定级——专家评审——主管部门审核——公安机关备案审查,填补了等保1.0时代只有按照定级要素进行过程,没有严格流程的不足。
2. 备案
在备案环节中,将原有的30天内备案,缩短为10个工作日,也就是说二级以上的网络运营者应当在网络安全等级保护等级确定后的10个工作日内进行备案。
3. 测评周期
等保2.0标准要求三级以上的系统每年开展一次测评。
二、等保2.0测评力度
等保2.0测评力度和方法
三、等保2.0合规路径
1. 系统梳理与定级
基于企业运营现状和规划进行内部系统梳理,识别并形成系统清单。
根据等保2.0相关要求,按业务重要程度、系统对外服务可用性、数据类型和规模等要素,梳理网络和系统边界,明确网络安全责任主体和定级对象,对系统进行初步定级。
2. 自查整改
根据确定的定级对象,参照等保2.0对应级别相关要求,进行系统差距分析,形成自查报告。
针对不符合项确定整改策略,开展整改工作,包括技术措施落实和管理制度完善等。
3. 第三方测评和备案
按要求编制定级报告,并组织必要的外部专家评审(二级及以上),完成主管部门审核(如有)后,到当地县级以上公安部门备案。
选择公安部门授权的测评机构开展测评,根据初测结论进行安全整改,并通过复测以获得备案证明(三级及以上)。
4. 持续改进
围绕网络安全治理目标,结合等保2.0工作要求,制定安全规划,明确网络安全工作任务,以及各项任务的优先级、成本和资源。
参照等保2.0标准和行业最佳实践,完善网络安全技术保障体系(识别、保护、检测、响应、恢复等),并按要求定期开展年度测评工作。
持续关注网络安全及相关法律、政策、标准的动态,及时跟进对应新的监管要求。