网络安全等保测评2.0解读

网络安全等保测评是经公安部认证的具有资质的测评机构，依据国家信息安全等级保护规范规定，受有关单位委托，按照有关管理规范和技术标准，对信息系统安全等级保护状况进行检测评估的活动。

 

网络安全等保测评就是评估网络安全性的一个标准，是《中华人民共和国网络安全法》明确规定的，网络使用者实施等保测评后，就有了执行标准，有了对口管理部门（公安局，网信办），不再是盲目的网络管理。

 

 

2. 网络安全等保测评小常识

等保测评共分五级，一级为自我评级无规定，五级属于国家级，由保密局负责测评，二、三、四级由公安部负责，也就是我们通用的民用级。

 

等保测评内容组成：物理环境，安全防护设备，安全管理制度三部分综合评分。

 

等保测评工作流程：定级、备案、安全整改、等级测评、监督检查（参与单位有使用单位、公安机关、安全设备厂商、测评机构）。

 

测评复查时间二级建议两年一查，三级规定一年一查

 

等保测评参考价格二级系统测评费6万，三级系统测评费10万。

 

等保测评备案要在单位所在地属地（县级及以上）公安网安部门进行备案。

 

特别提示：内网和专网的非涉密系统都属于等级保护范畴；网络安全日志要存留六个月以上。

 

 

3. 网络安全等保测评2.0解释

2019年12月1日发布《信息安全技术网络安全等级保护基本要求GB/T 22239-2019》，标志等保测评2.0时代来临，原来称为《信息安全等级保护基本要求》，现改为《网络安全等级保护基本要求》，原来的“Network Security”改为“Cyber Security”；可见国家对网络安全的重视。

 

 

4. 等保测评2.0的新特性

等保2.0新主体：一个中心三重防护，一个中心即安全管理中心，三重防护即安全通信网络，安全区域边界，安全计算环境。

 

等保2.0新核心：基于可信根的可信验证（现阶段规定没有可信根不扣分，有可信根加分）。

 

等保2.0新理念：变被动防护为主动防护；变静态防护为动态防护；变单点防护为整体防控；变粗放防护为精准防护。

 

等保2.0分数：测评合格分调整为70分以上。

 

 

5. 网络安全法、关保和密保的小知识

《中华人民共和国网络安全法》于2017年6月1日颁布实施，共七章七十九条，详细制定了关于网络安全的执行法规和法律责任。

 

关保既《关键信息基础设施安全保护制度》规定内容的等保测评，同样由公安部管理执行，国家关键信息基础设施具体内容如下：

政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位；

电信网、广播电视网、互联网等信息网络，以及提供云计算、大数据和其他大型公共信息网络服务的单位；

国防科工、大型装备、化工、食品药品等行业领域科研生产单位；

广播电台、电视台、通讯社等新闻单位；面向公众提供网络信息服务或支撑能源、通信、金融、交通、公共事业等重要行业运行的信息系统或工业控制系统；

 

密保既《信息安全等级保护商用密码管理办法》（国密局发），信息安全等级保护商用密码测评工作由国家密码管理局指定测评机构承担；测评级别较高，涉及国家安全层面。