@在线教育企业,不开展等级保护等于违法!
核心要点:
² 我国正式迈入等保2.0时代
² 不开展等级保护等于违法
² 在线教育企业的等保实操
2019年12月1日,等保2.0正式实施,标志着我国正式迈入了等保2.0时代。
从等保1.0到等保2.0,最大的变化就是等保已经从条例法规提升到了法律层面,因此不开展等级保护等于违法。另外,这次等保2.0涉及金融、医疗、能源、通信等十几个领域,其中尤其重视互联网教育行业,严格要求在线教育企业必须做等保。
由此看来,在线教育企业特别要注意:2020年再不做等保就是违法!为此,3W袋鼠申报的专家特别整理了等保2.0的核心内容,帮助企业快速了解等保新规。
1 等保2.0的五大鲜明特点
①两个全覆盖
一是覆盖各地区、各单位、各部门、各企业、各机构,也就是覆盖全社会。
二是覆盖所有保护对象,包括网络、信息系统,以及新的保护对象,云平台、物联网、工控系统、大数据、移动互联等各类新技术应用。
②内涵更丰富
进一步明确网络定级及备案审核、等级测评、安全建设整改、自查等规定动作,这是1.0时代的规定动作。
最主要增加了测评活动安全管理、网络服务管理、产品服务采购使用管理、技术维护管理、监测预警和信息通报管理、数据和信息安全保护要求、应急处置要求等内容。
③加强保障和保卫
强调国家建立健全网络安全等级保护制度的工作体系和保障体系。
政府扶持等级保护重点工程和项目,支持等级保护技术的研究开发应用,推广安全可信的网络产品和服务。
加强监督管理和执法,加强网络安全保卫,依法打击网络违法犯罪。
④技术和理论创新
按照一个中心、三重防护的总体思路,开展网络安全技术设计。
确立了可信计算技术的重要地位,结合人工智能、密码保护、生物识别、大数据分析等高端技术,落实网络安全管理要求、技术要求、测评要求、设计要求。
⑤明确实施“等保”的目标和要求
第一要落实分等级保护、突出重点、积极防御、综合防护的总体要求。
第二建立打防管控一体化的网络安全综合防御体系,提升国家网络安全整体防御能力。
2 等保2.0标准的新变化
等保2.0适时而出,从法律法规、标准要求、安全体系、实施环节等方面都有了变化。
①标准依据的变化
从条例法规提升到法律层面。等保1.0的最高国家政策是国务院147号令,而等保2.0标准的最高国家政策是网络安全法,因此不开展等级保护等于违法。
②标准要求变化
在1.0基本上进行了优化,同时对云计算、物联网、移动互联网、工业控制、大数据新技术提出了新的安全扩展要求。
在使用新技术的信息系统需要同时满足“通用要求+扩展要求”,且针对新的安全形势提出了新的安全要求,标准覆盖度更加全面,安全防护能力有很大提升。
③安全体系变化
依然采用“一个中心、三重防护”的理念,从等保1.0被动防御的安全体系向事前防御、事中相应、事后审计的动态保障体系转变。
建立安全技术体系和安全管理体系,构建具备相应等级安全保护能力的网络安全综合防御体系。
开展组织管理、机制建设、安全规划、通报预警、应急处置、态势感知、能力建设、监督检查、技术检测、队伍建设、教育培训和经费保障等工作。
④等级规定动作
保护定级、备案、建设整改、等级测评、监督检查的实施过程中,等保2.0进行了优化和调整。
◾ 定级对象的变化
等保1.0定级的对象是信息系统,等保2.0的定级对象扩展至基础信息网络、工业控制系统、云计算平台、物联网、使用移动互联技术的网络、其他网络以及大数据等多个系统平台,覆盖面更广。
◾ 定级级别的变化
公民、法人和其他组织的合法权益产生特别严重损害时,相应系统的等级保护级别从1.0的第二级调整到了第三级(根据GA/T1389)。
◾ 定级流程的变化
等保2.0标准不再自主定级,二级及以上系统定级必须经过专家评审和主管部门审核,才能到公安机关备案,整体定级更加严格。
◾ 测评合格要求提高
等保2.0的测评结论分为:优(90分及以上)、良(80分及以上)、中(70分及以上)、差(低于70分)。
70分以上才算基本符合要求,基本分调高了,测评要求更加严格。
袋鼠申报在这里特别提醒大家,此次等保最晚认证时间是2020年6月30日,认证时长约为55个工作日,因此企业一定要在3月份前着手准备申报。
3 在线教育企业的等保实操
2020年1月8日(周三)下午,3W袋鼠申报针对等保的种种问题,推出新一期的创始人必修课——在线教育企业必做的等保申报解读,届时与大家聊聊企业为什么要做等保与等保2.0实操。