三级等保是什么,等保2.0是什么,什么是等保
浏览次数:32 来源:郑州网站建设 作者:郑州网站制作 标签:网站安全
经常有人问 “三级等保是什么?”、“等保2.0是什么?”、“什么是等保?” “信息安全”、“网络安全是不是信息安全”等诸如此类的问题,所以这篇文档希望能用最简单的语言解释清楚“等保2.0”和“三级等保”之间的关联关系。
等保和等级保护
“等保”和“等级保护”是一个简称, 全称为: 信息安全等级保护 。名字来源 2007年发布的 《信息安全等级保护管理办法》,业内俗称 “等保1.0” (就像软件开发中的1.0版本一样),所以2007年的时候“等保”这个词就来了。小伙伴们注意了,文章以下简称“等保”。
等保2.0和等级保护2.0
2017年,《中华人民共和国网络安全法》的正式实施,《网络安全法》中第21条明确“国家实行网络安全等级保护制度。”,同时2018年至2020年又更新了相关国家标准,从这个时候起,大家都开始叫做 “等保2.0” 了有如下变化:
| 项目 | 2007年 | 2017年 |
|---|---|---|
| 名词 | 信息安全等级保护 | 网络安全等级保护 |
| 俗称 | 等保1.0 | 等保2.0 |
| 顶层标准 | 《信息安全等级保护管理办法》 | 《中华人民共和国网络安全法》 |
| 性质 | 管理办法(行政法规) | 国家法律(你懂的) |
| 区别 | 只包含软件应用系统 | 除了软件应用本身以外,还包含其他各个方面; 如物理、网络、主机、应用、数据等等 |
划重点: 国家法律中并没有出现“等保2.0”、“等级保护2.0”等字样,只是业内的一种约定俗称的叫法而已,同时搜索也应该从“信息安全”字样改为“网络安全”,所以你去官网搜等保2.0是无法搜索到的。(举个例子:俄罗斯人 ,在社会生活中大家都喜欢“毛子”,但是你去官网搜,你肯定搜不到的!)
《卓大解读系列之为什么要叫做2.0》
1、2007年发布“等保1.0”后,直到2017年左右,最大的变化肯定是移动互联网、云计算等等,所以“等保1.0”发布的时候还有这些技术,所以已经无法约束了
2、想想这十余年间的技术变化:移动互联网、云计算、大数据、物联网、工业互联网、新能源汽车、移动支付等等 变化非常大吧
3、数据大爆发时代,想想2007年的时候,还在发短信,用的是2G,不会有那么多数据,现在呢,电商、5G+,而且物联网、短视频等等各类数据,大多了
4、数据泄露,现在每个人几乎都能接到各种骚扰电话,这还是在国家管控的情况下,如果不管控,会有可能的数据泄露,到时候可能不只是骚扰电话了,甚至电诈,想想缅北
※:综合以上4点,这十年间的巨大变化,所以必须来个大的版本更新,于是业内就叫做2.0了,然后国家内部也开始这么叫了,所以都这么叫了
三级等保
在“等保2.0”(《网络安全法》)中,由低到高一共5个等级,“三级等保” 表示 “第三级等级保护”, 即 “等级保护对象受到破坏后,会对社会秩序和公共利益造成严重危害,或者对国家安全造成危害;”。
国家规定一共有5个保护等级,具体如下:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
是不是读完这句话再次感受到了中文的“博大精深”,一时看不懂,不过不要因这句话而怀疑国家的标准,如果你想了解具体含义的话,请阅读国家标准《网络安全等级保护定级指南(GB/T22240-2020)》 ,其实是非常清晰明了的。
为什么大家总在说三级等保
就我国的实际情况来看,按照上述的《网络安全等级保护定级指南(GB/T22240-2020)》标准,最常见的是等保二级和等保三级。
对于国家和企业而言,通常三级保护已经能满足大部分场景了,所以经常说“三级等保”。
那么如何评定一个系统应该是哪一级呢?
关于这个问题,网上有很多文章都是错误的,如下错误示例:
按照行业划分的,如工业企业需要三级,教育行业需要二级,电商行业需要二级,政府的系统需要三级,金融的需要四级等等
按照数据划分的,如电商行业,有收货地址 敏感信息,就必须三级,数据大于100万的,必须三级等等
甚至按照 主观意愿的,“我觉得三级,嗯,那应该就是三级”。。。
以上几点都是错误的,等保2.0标准不再自主定级,而是需要经过“定级流程”最终确定下来的。
定级流程
“确定定级对象——>初步确定等级——>专家评审——>主管部门审核——>公安机关备案审查——>最终确定等级”
系统必须经过这种线性的定级流程,系统定级必须经过专家评审和主管部门审核,才能到公安机关备案。
划重点
标准文件中说明如下:安全保护等级初步确定为第二级及以上的等级保护对象,其网络运营者依据本标准组织进行专家评审、主管部门核准和备案审核,最终确定其安全保护等级。
注:安全保护等级初步确定为第一级的等级保护对象,其网络运营者可依据本标准自行确定最终安全保护等级,可不进行专家评审、主管部门核准和备案审核。
定级标准
在《网络安全等级保护定级指南(GB/T22240-2020)》标准中也给出了定级标准,是一个多维度矩阵决定的具体标准,如下图:
所以,再也不要相信网上的文章随意定级了,一切应按照如上标准和相关主管部门审核来定级。
网站文章纠正或建议请致电:186-9583-3851 或邮箱联系:136109548@qq.com
加个好友,随时问