网络安全等级保护制度是中国网络安全领域的基础性制度,2017年随着《中华人民共和国网络安全法》的实施全面升级为等保2.0时代。相比等保1.0,等保2.0在保护范围、安全要求、监管方式和法律责任等方面都有了显著变化。很多企业听过多遍等保二字,但到底等保2.0要求什么、企业要不要做、怎么做,仍然存在不少认知盲区。这篇文章系统解读等保2.0的核心变化和企业落地要点。
等保2.0最显著的变化之一,是保护范围的扩大。等保1.0主要针对的是基础信息网络和涉及国计民生的重要信息系统,而等保2.0将保护范围扩展到了云计算平台、大数据平台、物联网系统、工业控制系统和移动互联系统。换句话说,只要企业的信息系统存储或处理信息,原则上都应当纳入等级保护的范围。这意味着大量的中小企业信息系统也进入了等保监管视野。
等保2.0将安全保护等级划分为五个级别,从第一级到第五级安全要求逐级提高。第一级适用于不涉及国家安全、社会秩序和公共利益的一般信息系统。第二级适用于一旦受到破坏会对公民和法人的合法权益造成损害的信息系统。第三级适用于一旦受到破坏会对社会秩序和公共利益造成严重损害的信息系统。大多数企业运营的信息系统通常定级在第二级到第三级之间。
等保2.0在安全要求方面建立了通用安全要求和扩展安全要求的双层体系。通用安全要求所有等级系统都必须遵守,包括物理安全、网络安全、主机安全、应用安全、数据安全五个技术层面,以及安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五个管理层面。扩展安全要求则针对云计算、大数据、物联网、工业控制和移动互联等特定场景提出补充要求。
等保2.0的核心工作流程可以用五个字概括,就是定级、备案、建设整改、等级测评和监督检查。企业需要先按照国家标准确定信息系统的安全保护等级,然后向公安机关进行备案。备案完成后,企业应当按照相应等级的安全要求开展安全建设或整改。建设完成后,应当委托具有资质的测评机构进行等级测评。公安机关和行业主管部门对测评结果进行监督检查,确定企业是否满足等保要求。
等保2.0的测评频率因等级而异。第二级信息系统建议每两年进行一次等级测评,第三级信息系统要求每年至少进行一次等级测评。测评结果分为符合、基本符合和不符合三个等级。对于不符合要求的系统,企业需要在规定期限内完成整改并通过复测。连续两次测评不合格的,监管部门可以依法采取行政处罚措施。
等保2.0的合规落地需要企业投入相应的资源。很多中小企业担心等保费用过高,实际上等保的实施可以分阶段推进。第一阶段完成定级备案工作,一般费用相对可控。第二阶段按照安全要求进行差距分析,识别当前安全状况与等保要求之间的差距。第三阶段制定整改方案并实施,可以选择性价比高的安全产品和云安全服务来降低投入。第四阶段委托测评机构进行测评。整个过程中建议企业寻找有经验的等保咨询服务机构协助。
等保2.0对云安全提出了明确要求。如果企业使用云计算服务处理业务数据,云服务商需要取得等保资质,同时企业作为云租户也需要承担相应的安全责任。等保2.0明确了云环境下的责任共担模型,云服务商负责云平台自身安全,租户负责云上系统和数据的安全。企业在选择云服务商时,应当优先选择已通过等保三级及以上测评的供应商。
从等保2.0的执法实践来看,公安机关网安部门每年都会开展网络安全执法检查,对未履行等保义务的单位依法进行处罚。拒不开展等保工作的企业,可能面临一万元以上十万元以下罚款,直接负责的主管人员也可能被处以罚款。对等保三级以上系统未落实安全保护措施导致危害后果的,处罚力度更大。
等保2.0不是一次性的合规任务,而是一项持续性的安全管理工作。企业应当将等保工作纳入信息安全管理体系,建立常态化的安全运维机制,定期开展安全自查和风险评估。随着业务系统的新建和变更,定级和备案也需要及时更新。把等保从应付检查转化为安全管理的内生需求,才是等保2.0制度的初衷。
常见问题
Q1:等保2.0是所有企业都要做吗? A:理论上所有信息系统都应当纳入等级保护范围,但实际执行中监管部门会优先关注涉及大量用户数据、关键信息基础设施和重要行业的信息系统。
Q2:等保定级在哪里办理? A:定级由企业自行按照国家标准确定,然后向所在地设区的市级以上公安机关网安部门备案。
Q3:不做等保有什么后果? A:可能面临行政处罚,包括罚款、责令整改、暂停业务等。在发生安全事件时,未开展等保工作会被认定为存在管理过错,加重法律责任。
