安全等级保护2.0让企业网络安全更优化

《信息安全技术网络安全等级保护基本要求》等一系列等保新标准的发布，标志着等级保护即将进入2.0时代。等级保护2.0覆盖了工业控制系统、大数据、物联网等新技术新应用。面对等保2.0新时代下的安全合规要求，如何做好企业网络安全合规工作成了企业的必修课。

“将于12月1日正式实施的《网络安全等级保护制度》2.0版本相较之前1.0版本有了很多新变化。”在近日召开的网络安全和数据保护最新立法及执法趋势解读会上，中国电子技术标准化研究院信息安全研究中心云审查技术负责人刘俊河介绍说，整体上控制项安全要求数量从291变为229；网络安全拆分为安全通信网络和安全区域边界两个部分；主机安全、应用安全和数据及备份合并到安全计算环境中；新增安全管理中心控制项。

此外，2.0版本的等级保护对象更加丰富，包括基础信息网络、信息系统、云计算平台、物联网、移动互联、工控系统（ICS）等；通用要求方面，等保2.0标准的核心是“优化”。删除了过时的测评项，对其他测评项进行合理性改写，新增对新型网络攻击行为防护和个人信息保护等新要求。从等保1.0标准被动防御的安全体系向事前预防、事中响应、事后审计的动态保障体系转变，注重全方位主动防御、安全可信、动态感知和全面审计；特别增加了安全集中管控的要求，建设集中安全管理系统成为必要。集中管控具体要求包括应划分出特定的管理区域，对分布在网络中的安全设备或安全组件进行管控，能够建立一条安全的信息传输路径，对网络中的安全设备或安全组件进行管理等；特别增加了个人信息保护的要求。提出了采用可信计算技术防范恶意代码的控制要求。

如果企业违反有关等保制度，可能会被有关执法机关采取处罚措施。“根据《网络安全法》的规定，对于非关键信息基础设施的企业而言，不履行网络安全等级保护义务，有关主管部门可能会采取如下处罚措施：责令改正、警告、罚款。”大成律所高级合伙人邓志松表示，单位内部的电信网、广播电视传输网、互联网等基础信息网络，工业控制系统、云计算平台、物联网、采用移动互联技术的网络和大数据等系统均需要做等级保护测评。

邓志松指出，企业在进行网络安全等级保护工作时，需要梳理公司现有的网络系统，确定定级对象，制定等保工作计划。并确定各定级对象的网络安全等级，组织专家评审并报送主管部门核准。在此过程中可以请企业、律所或其他专业咨询机构进行协助，并组织专家评审完成定级工作。此外，专家评审完成后报送行业主管部门核准时，还应就主管部门的反馈意见及时就定级情况作相应调整。（穆青风）