等保测评1.0到2.0的演变发展
中国等保测评的演变
作为中国强化网络安全监管制度的重要组成部分,信息安全等级保护测评不是一个新概念,可以追溯到1994年和2007年发布的多项管理规则(通常称为等保测评 1.0规则),根据这些规则,网络运营商需要将其信息系统分为五个级别,并采取适当的网络安全措施。 随着《2016年网络安全法》(“CSL”)于2017年6月生效,对等保测评的审查已经加强。
CSL第21条规定,网络运营商在履行其义务时应遵守等保测评的要求,以确保网络不受干扰、损坏或未经授权的访问,并防止网络数据被泄露、窃取或伪造。 随着CSL的实施,遵守等保测评已成为一项法定义务。
自2021 9月1日起生效的《数据安全法》(“DSL”)进一步强化了这一法律义务,该法第27条规定,网络运营商在利用互联网和其他信息网络进行数据处理活动时,必须根据等保测评履行其数据保护义务。
2019年5月,中国国家监管机构发布了以下国家标准,自2019年12月1日起生效:
《信息安全技术网络安全等级保护基线》(GB/T 22239-2019)(“等保测评 2.0基线”);
《信息安全技术网络安全等级保护安全设计技术要求》(GB/T 25070-2019); 和
GB/T 28448-2019《信息安全技术网络安全等级保护评估要求》。
这三项新的国家标准对如何实施等保测评制度提出了全面和严格的技术和管理要求。 这些标准与CSL、DSL以及随后的等保测评规则和指南一起构成了所谓的等保测评 2.0,因为与等保测评 1.0相比,它们显著扩展了应用范围并提高了合规性要求。
本文概述了等保测评 2.0基线下的关键点,并讨论了商业组织可考虑的合规性方面。
更广泛的应用
如CSL所述,等保测评适用于所有“网络运营商”,CSL对其进行了广泛定义,包括几乎所有在中国运营的企业。 与等保测评 1.0相比,等保测评 2.0将覆盖范围从传统IT系统扩展到网络基础设施、关键信息系统、网站、大数据中心、云计算、物联网、工业控制系统、移动应用、公共服务平台和其他领域,以应对新兴技术和行业发展带来的网络安全挑战。
需要注意的是,内部和外部IT系统和网络都受等保测评的约束。 从最近的执法行动来看,中国监管机构已将目标对准了公众容易访问的网络(如公司官方网站)或包含大量个人信息(员工数据、客户数据和敏感商业数据)的内部系统。 建议商业实体在规划等保测评合规工作时高度优先考虑这些IT系统和网络。
增强的安全要求
等保测评2.0基线规定,IT网络从以下两个方面按1级到5级的等级进行分级:
信息技术系统/网络在国家安全、经济发展和社会生活中的重要性程度; 和
如果IT系统/网络受损或被篡改,可能对国家安全、公共利益、个人和商业组织的合法权利造成的损害程度。
等保测评 2.0 基线为 1 级到 4 级的 IT 系统和网络提供了通用安全要求和特定扩展安全要求。 对于 IT 系统/网络的每个级别,网络运营商应遵守广泛的通用网络安全要求 物理环境、安全边界、安全通信、基础设施安全管理、安全建设、IT系统和网络的运维。
除上述一般网络安全措施外,网络运营商还需要遵守适用于云计算、移动应用、物联网和工业控制系统特定场景的某些扩展网络安全要求。 以二级云计算为例,网络运营商需要遵守一般网络安全要求,如访问控制、防火、防洪、防雷和防盗、保持适当的温度和湿度以及持续供电。 除此之外,网络运营商还需要遵守扩展的网络安全要求,即云计算基础设施必须位于中国境内的服务器上。
加强对个人信息的保护
与等保测评 1.0相比,等保测评 2.0基线包含了更全面的个人信息保护要求,具体规定网络运营商应制定和实施政策和保护机制,以合法、适当地收集和处理涵盖整个数据生命周期的个人信息。 这显然符合2021 11月1日生效的CSL、DSL和个人信息保护法(“PIPL”)中规定的法律要求。
主动防御网络攻击和数据事件
等保测评2.0基线要求网络运营商将其网络安全策略从等保测评1.0下的被动防御改为主动应对网络攻击。 这意味着网络运营商应采取主动、准确和全面的防御措施,以防止其IT系统和网络受到攻击、损害和破坏。
等保测评2.0基线规定,网络运营商必须实施适当的政策和机制,以便对受影响的个人和相关当局进行网络安全监测和检测、预警和数据事件通知。 DSL和PIPL进一步确认了这些要求。
强化监管
从监管监管角度来看,等保测评2.0基线扩展了监管执行方法,包括远程监控、现场调查、与负责人的合规性查询、数据违规检查、补救行动命令、行政处罚、紧急网络切断以及适用规则允许的其他措施。
分级过程
为了完成等保测评S认证,网络运营商应通过某些必要的程序。 首先,网络运营商必须通过确定其IT系统或相关网络的目标扇区和相关级别来进行自我评估。 如果自评估确定IT系统或网络处于2级或以上,则网络运营商必须咨询合格专家进行进一步验证。 网络运营商应遵循合格专家提出的整改建议,并进一步向当地公安部门提交信息技术系统/网络的最终认证。
执行趋势
等保测评2.0基线引入的详细和全面的要求为公司采取实际措施提供了更多的参考指导,也为监管机构检查合规状况并对不合规行为采取执法行动提供了更多参考指导。
值得注意的是,自2019年12月采用等保测评2.0以来,中国的国家和地方当局开展了更多定期和积极的调查。 当局通过对公司进行现场访问、检查等保测评认证状态、要求公司加快等保测评合规性、对等保测评的合规性进行了多轮监管,以及对违规行为进行处罚。 例如,2022年7月,一家在线驾驶学校服务提供商因未能遵守DSL下的等保测评要求而被广州市政府抓住,并受到经济制裁。
展望未来,随着CSL、DSL和PIPL的实施以及更多等保测评规则和指南的出台,人们普遍预计中国当局将在未来数月和数年内进一步加强等保测评的执行。
实用点
等保测评2.0标准的实施为商业组织提出了许多新的和增强的合规要求。 CSL和DSL中对等保测评制度的确认表明,对于IT系统和网络等级为2级及以上的公司,遵守相关等保测评要求已成为法律义务,不遵守可能导致法律风险。
自2019年12月正式采用等保测评标准以来,中国当局采取了积极的执法行动,通过监测合规性、进行调查和实施处罚。 预计在未来数月和数年内,将采取更有力的执法行动。 中国的数据和网络安全法律制度正在快速变化,从最近由政府主导的调查来看,中国当局在对违反中国数据和网络法律的公司和高级管理层实施大规模制裁时似乎从不害羞。 到目前为止,中国当局施加的经济处罚远远高于欧洲数据监管机构根据《一般数据保护条例》(条例(欧盟)2016/679)(“GDPR”)施加的处罚。
与等保测评1.0相比,等保测评2.0基线扩展了应用范围,涵盖了大数据、云计算、移动应用和其他新兴技术。 公司现在需要遵守更严格的技术和组织要求,以实施政策和程序,加强对个人数据的保护,并主动防御网络攻击和数据事件。
此外,等保测评标准适用于在中国运营的所有公司,因此国际企业和中国实体应注意其在中国业务运营所使用的IT基础设施和应用程序的等保测评2.0要求,并采取适当的合规措施。 等保测评2.0标准规定了实质性的新要求,商业组织必须制定与其业务目标和合规优先事项相一致的网络和数据议程。
实现等保测评合规性可能是一项耗时的任务,因为整个过程涉及多个程序,其中包括以下程序:
定义相关IT系统和网络边界;
绘制数据清单;
对IT系统和网络进行初步分级;
根据等保测评要求进行差距分析;
起草自我评估报告; 制定补救计划;
采取补救行动; 审查和更新管理政策;
准备数据泄露响应包;
与聘请的专家和认证政府当局的沟通;
和持续监控IT系统和网络,并定期进行等保测评审查、更新和更新 利用经验丰富的法律顾问和技术顾问的专业知识将有助于有效地实现等保测评合规。
相关文章:

等保测评1.0到2.0的演变发展
中国等保测评的演变 作为中国强化网络安全监管制度的重要组成部分,信息安全等级保护测评不是一个新概念,可以追溯到1994年和2007年发布的多项管理规则(通常称为等保测评 1.0规则),根据这些规则,网络运营商…...
yum 源配置
在/etc/yum.repo.d目录下 格式: [repository_name] nameRepository description baseurlhttp://repository_url enabled1 gpgcheck0 gpgkeyfile:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-7 其中: [repository_name]:源的标识名称,…...

通过AI技术克服自动化测试难点(上)
本文我们一起分析一下AI技术如何解决现有的自动化测试工具的不足和我们衍生出来的新的测试需求。 首先我们一起看一下计算机视觉的发展历史,在上世纪70年代,处于技术萌芽期,由字符的识别技术慢慢进行演化,发展到现在,人…...
等保测评:如何建立有效的网络安全监测系统
等保测评中的网络安全监测系统建立 在建立等保测评中的网络安全监测系统时,应遵循以下步骤和策略: 确定安全等级和分类:首先,需要根据信息系统的安全性要求、资产的重要性和风险程度等因素,确定网络系统的安全等级&…...
yjs12——pandas缺失值的处理
1.缺失值的表示 正常来说,pandas缺失值是“nan”表示,但是有且文件可能自己改成了相应的别的符号 2.如何将缺失值符号改成nan xxx.replace(to_replace"...",valuenp.nan) 3.判断是否有缺失值 1.pd.notnull(xxx)————如果有缺失,…...
噪声分布 双峰,模拟函数 或者模拟方法 python人工智能 深度神经网络
在Python中模拟双峰分布,可以通过多种方法实现。以下是一些常用的方法: 1. **使用正态分布混合**: 可以通过组合两个正态分布来创建一个双峰分布。每个正态分布都有其自己的均值(mu)和标准差(sigma&…...

5个免费ppt模板网站推荐!轻松搞定职场ppt制作!
每次过完小长假,可以明显地感觉到,2024这一年很快又要结束了,不知此刻的你有何感想呢?是满载而归,还是准备着手制作年终总结ppt或年度汇报ppt呢? 每当说到制作ppt,很多人的第一反应,…...
HTML5+Css3(背景属性background)
css背景属性 background 1. background-color背景颜色 背景颜色可以用“十六进制”、“rgb()”、“rgba()”或“英文单词”表示 2. background-image:url(路径);背景图片 也可以写成 background:url(); 3. background-repeat背景重复 属性值: - repeat:x,y平铺…...

高亚科技助力优巨新材,打造高效数字化研发项目管理平台
近日,中国企业管理软件资深服务商高亚科技与广东优巨先进新材料股份有限公司(以下简称“优巨新材”)正式签署合作协议,共同推进产品研发管理数字化升级。此次合作的主要目标是通过8Manage PM项目管理系统,提升优巨新材…...

用布尔表达式巧解数字电路图
1.前置知识 明确AND,OR,XOR,NOR,NOT运算的规则 参见:E25.【C语言】练习:修改二进制序列的指定位 这里再补充一个布尔运算符:NOR,即先进行OR运算,再进行NOT运算 如下图为其数字电路的符号 注意到在OR符号的基础上,在尾部加了一个(其实由简化而来) 附:NOR的真值表 2.R-S触发…...
面试--开源框架面试题集合
Spring 谈谈自己对于 Spring IoC 的了解什么是 IoC?IoC 解决了什么问题?什么是 Spring Bean?将一个类声明为 Bean 的注解有哪些?Component 和 Bean 的区别是什么?注入 Bean 的注解有哪些?Autowired 和 Resource 的区别是什么?…...

如何选择医疗器械管理系统?盘谷医疗符合最新版GSP要求
去年12月7日,新版《医疗器械经营质量管理规范》正式发布,并于今年7月1日正式实施。新版GSP第五十一条提出“经营第三类医疗器械的企业,应当具有符合医疗器械经营质量管理要求的计算机信息系统,保证经营的产品可追溯”,…...

shell 脚本批量更新本地git仓库
文章目录 一、问题概述二、解决方法三、运行效果1. windows2. centos 一、问题概述 你是否遇到这样的场景: 本地git仓库克隆了线上的多个项目,需要更新时,无法象svn一样,选中多个项目一起更新。 只能苦逼的一个个选中,…...

Linux相关概念和易错知识点(12)(命令行参数、环境变量、本地变量)
1.命令行参数 (1)main函数的参数int argc和char* argv[]是什么? main函数可以带参数,即int main(int argc, char* argv[]),(int argc, char* argv[])叫做命令行参数列表,int argc叫参数的个数&a…...
wenserver中 一些常见的 错误码
EINTR 是 Linux 系统中定义的一个错误码,代表“被信号中断”。当一个系统调用在执行过程中被一个信号处理函数中断时,这个系统调用会立即返回错误,并且 errno 被设置为 EINTR。 举个例子 read函数是阻塞的 现在没有数据要读 我们read一直阻…...

【电路笔记】-求和运算放大器
求和运算放大器 文章目录 求和运算放大器1、概述2、反相求和放大器3、同相求和放大器4、减法放大器5、应用5.1 音频混合器5.2 数模转换器 (DAC)6、总结1、概述 在我们之前有关运算放大器的大部分文章中,仅将一个输入应用于反相或非反相运算放大器的输入。在本文中,将讨论一种…...
java实现桌面程序开机自启动
问题: 最近用java写一个桌面闹钟程序,需要实现开机自启动功能 解决办法: jna官网:https://github.com/java-native-access/jna?tabreadme-ov-file 使用jna库可以轻松实现 下载jna-5.15.0.jar和jna-platform-5.15.0.jar这两个库…...

Vuex 使用实例
文章目录 Vuex介绍使用步骤安装使用定义配置文件代码解释: 导入到 App.vue使用使用vuex Vuex 介绍 简单来说就是,多个组件需要共享一个data,原本只能通过父子组件来进行,但是vuex可以实现共享data 使用步骤 安装 npm install v…...
深度分离卷积
深度可分离卷积(Depthwise Separable Convolution)是一种高效的卷积操作,它将传统卷积操作分解为两个独立的步骤:深度卷积(Depthwise Convolution) 和 逐点卷积(Pointwise Convolutionÿ…...
JSONL 文件的检查和修订器
下面是一个JSONL 文件的检查和修订器,代码如下: import json import tkinter as tk from tkinter import filedialog, messageboxdef check_jsonl_file(input_file, log_file, output_file=None):errors = []valid_lines = []with open(input_file, r, encoding=utf-8) as in…...
云原生核心技术 (7/12): K8s 核心概念白话解读(上):Pod 和 Deployment 究竟是什么?
大家好,欢迎来到《云原生核心技术》系列的第七篇! 在上一篇,我们成功地使用 Minikube 或 kind 在自己的电脑上搭建起了一个迷你但功能完备的 Kubernetes 集群。现在,我们就像一个拥有了一块崭新数字土地的农场主,是时…...

Spark 之 入门讲解详细版(1)
1、简介 1.1 Spark简介 Spark是加州大学伯克利分校AMP实验室(Algorithms, Machines, and People Lab)开发通用内存并行计算框架。Spark在2013年6月进入Apache成为孵化项目,8个月后成为Apache顶级项目,速度之快足见过人之处&…...

css实现圆环展示百分比,根据值动态展示所占比例
代码如下 <view class""><view class"circle-chart"><view v-if"!!num" class"pie-item" :style"{background: conic-gradient(var(--one-color) 0%,#E9E6F1 ${num}%),}"></view><view v-else …...

理解 MCP 工作流:使用 Ollama 和 LangChain 构建本地 MCP 客户端
🌟 什么是 MCP? 模型控制协议 (MCP) 是一种创新的协议,旨在无缝连接 AI 模型与应用程序。 MCP 是一个开源协议,它标准化了我们的 LLM 应用程序连接所需工具和数据源并与之协作的方式。 可以把它想象成你的 AI 模型 和想要使用它…...
2024年赣州旅游投资集团社会招聘笔试真
2024年赣州旅游投资集团社会招聘笔试真 题 ( 满 分 1 0 0 分 时 间 1 2 0 分 钟 ) 一、单选题(每题只有一个正确答案,答错、不答或多答均不得分) 1.纪要的特点不包括()。 A.概括重点 B.指导传达 C. 客观纪实 D.有言必录 【答案】: D 2.1864年,()预言了电磁波的存在,并指出…...
css3笔记 (1) 自用
outline: none 用于移除元素获得焦点时默认的轮廓线 broder:0 用于移除边框 font-size:0 用于设置字体不显示 list-style: none 消除<li> 标签默认样式 margin: xx auto 版心居中 width:100% 通栏 vertical-align 作用于行内元素 / 表格单元格ÿ…...

九天毕昇深度学习平台 | 如何安装库?
pip install 库名 -i https://pypi.tuna.tsinghua.edu.cn/simple --user 举个例子: 报错 ModuleNotFoundError: No module named torch 那么我需要安装 torch pip install torch -i https://pypi.tuna.tsinghua.edu.cn/simple --user pip install 库名&#x…...
Python ROS2【机器人中间件框架】 简介
销量过万TEEIS德国护膝夏天用薄款 优惠券冠生园 百花蜂蜜428g 挤压瓶纯蜂蜜巨奇严选 鞋子除臭剂360ml 多芬身体磨砂膏280g健70%-75%酒精消毒棉片湿巾1418cm 80片/袋3袋大包清洁食品用消毒 优惠券AIMORNY52朵红玫瑰永生香皂花同城配送非鲜花七夕情人节生日礼物送女友 热卖妙洁棉…...

人机融合智能 | “人智交互”跨学科新领域
本文系统地提出基于“以人为中心AI(HCAI)”理念的人-人工智能交互(人智交互)这一跨学科新领域及框架,定义人智交互领域的理念、基本理论和关键问题、方法、开发流程和参与团队等,阐述提出人智交互新领域的意义。然后,提出人智交互研究的三种新范式取向以及它们的意义。最后,总结…...

windows系统MySQL安装文档
概览:本文讨论了MySQL的安装、使用过程中涉及的解压、配置、初始化、注册服务、启动、修改密码、登录、退出以及卸载等相关内容,为学习者提供全面的操作指导。关键要点包括: 解压 :下载完成后解压压缩包,得到MySQL 8.…...