等保测评二级和三级的区别是什么?
等保二级和等保三级在所需安全保障程度、技术要求等方面存在明显差异。今天我们就来详细了解下等保测评二级和三级的区别,三级的信息系统需要达到较高的安全保护水平,能够有效抵御中等程度以上的网络攻击。
等保测评二级和三级的区别
等保二级和等保三级,简洁而言就是评定的级别不同。由于级别不同,所以实施的网络安全防护工作和搭配的安全产品也有差别。这类在做等级保护测评实施的过程中,会突显出来。由于这类因素,等保二级和等保三级在等级保护搭建的环节中耗费的人力成本、测评成本和安全设备购置花费,也有很大的差异,等保三级的花费会更高一些。另外,等保二级和等保三级的测评周期,是有所不同的。
网络安全等级保护(简称等保)是我国为了保障国家重要信息、法人和其他组织及公民的专有信息以及信息和存储、传输、处理这些信息的信息系统的安全,而制定的一套安全管理制度。等保制度要求对信息系统进行分级,按照不同的级别实施相应的安全保护措施,对信息系统中使用的信息安全产品进行按等级管理,对信息系统中发生的信息安全事件进行分等级响应、处置。
等保制度自1994年开始实施,经历了多次修订和完善,最新的版本是2019年发布的《信息安全技术网络安全等级保护基本要求》(简称等保2.0),该标准将于2021年12月1日正式实施。等保2.0相对于之前的版本,有了很多变化和创新,主要体现在以下几个方面:
法律地位得到确认。《中华人民共和国网络安全法》第21条规定“国家实行网络安全等级保护制度”,要求“网络运营者应当按照网络安全等级保护制度要求,履行安全保护义务”;第31条规定“对于国家关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护”。
等级保护对象不断拓展。随着云计算、移动互联、大数据、物联网、人工智能等新技术不断涌现,计算机信息系统的概念已经不能涵盖全部,特别是互联网快速发展带来大数据价值的凸显,等保保护对象的外延将不断拓展。
强化可信计算。等保2.0构建以可信计算技术为基础的等级保护核心技术体系,强化了可信体系的这一重要思想。
通用要求和扩展要求的变化。将共性安全保护需求列为安全通用要求,针对云计算、大数据、工业控制系统和移动互联技术等不同领域的安全保护需求提出了安全扩展要求。
测评合格要求提高。相较于等保1.0,等保2.0测评的标准发生了变化,2.0中测评结论分为:优(90分及以上)、良(80分及以上)、中(70分及以上)、差(低于70分),70分以上才算基本符合要求,基本分调高了,测评要求更加严格。
定级对象的确定。等保2.0要求对信息系统进行定级,定级对象的确定原则是:具有确定的主要安全责任主体、承载相对独立的业务应用、包含相互关联的多个资源。对于云计算平台/系统、物联网、工业控制系统以及采用移动互联技术的系统,在满足以上基本特征的基础上,还需满足以下要求:
云计算平台/系统:云计算平台/系统需要单独定级备案,同一云计算平台可承载不同级别的信息系统,但不能承载高于平台级别的信息系统。
物联网:物联网应作为一个整体对象定级,主要包括感知层、网络传输层和处理应用层要素。
工业控制系统:工业控制系统主要由生产管理层、现场设备层、现场控制层和过程监控层构成,其中生产管理层的定级对象确定原则见其他信息系统,设备层、现场控制层和过程监控层应作为一个整体对象定级,各层次要素不单独定级。对于大型工业控制系统,可以根据系统功能、控制对象和生产厂商等因素划分为多个定级对象。
移动互联技术:移动互联技术应作为一个整体对象定级,移动终端、移动应用和无线网络等要素不单独定级,与采用移动互联技术等级保护对象的应用环境和应用对象一起定级。
以上就是关于等保测评二级和三级的区别的详细介绍,二级等保可以为数据提供明确的允许/拒绝访问能力;三级等保不仅可以为数据提供明确的允许/拒绝能力,两者之前还是有一定的区别。