基本概念
网络安全等级保护,简称“等保”,是指对国家秘密信息、法人或其他组织及公民专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级进行响应、处置。
法律要求
《网络安全法》第二十一条规定“国家实行网络安全等级保护制度”,网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。标志了等级保护制度的法律地位。
等保2.0新标准
在等保1.0的基础上提出新的技术要求和管理要求,强调“一个中心,三重防护”,关键点包括可信技术、安全管理中心,以及云计算、物联网等新兴领域的安全扩展要求。对应的,企业在安全防护体系建设、风险评估和管理上需要更加全面,并需关注所在行业的安全要求和定级标准。
实施意义
合法要求:满足合法合规要求,清晰化责任和工作方法,让安全贯穿全生命周期;
体系建设:明确组织整体目标,改变以往单点防御方式,让安全建设更加体系化;
等级防护:提高人员安全意识,树立等级化防护思想,合理分配网络安全投资。
业务系统繁多,安全整改成本投入高
数字化转型具有分散性和广泛性,且业务链路长,不同的服务阶段都可能有不同的分支机构,上下游企业提供服务,导致经营过程中的业务系统繁多,且功能复杂;更多的系统,更复杂的功能导致更多的安全风险,需要让这些系统满足等保2.0的安全标准,业务系统整改投入巨大。
涉及大量隐私数据,对数据安全的要求比较严格
泛金融服务通常都是为民生利益提供安全保障服务,涉及到大量隐私数据;且这些数据的传输链路比较长,如何有效保障这些隐私数据的安全,满足等保2.0的要求也是不小的挑战。
大型企业
中型传统企业
小、微企业