2020年10月22日,《等保2.0體系互聯網合規實踐白皮書》(以下簡稱白皮書)正式對外發布。
該白皮書由騰訊公司、中國電子科技集團公司第十五研究所(信息產業信息安全測評中心)、深圳市網安計算機安全檢測技術有限公司聯合編制,是國內首份對網絡安全等級保護2.0標準條文進行詳細分析及解讀的白皮書,安全管理與技術能力並重,具有極高的實踐價值和參考意義。
等保2.0全稱為"網絡安全等級保護標準2.0",以《網絡安全法》等法律為頂層規範性文件,於2019年12月1日起正式實施。
等保2.0標準具有以下特點:第一,基本要求、測評要求和技術要求框架統一,採用安全管理中心支持下的三重防護結構框架;第二,通用安全要求+新型應用安全擴展要求,將雲計算、移動互聯、物聯網、工業控制等列入標準規範,其中雲計算擴展要求作為重點內容被第一個單獨列出來。
"不開展等級保護就等於違法"的政策規定,要求企業全面建立以等保2.0為核心的網絡安全管理體系,將等級保護合規融入日常安全運營流程中。同時,5G、人工智能、雲計算、物聯網、工業互聯網、大數據等新技術新應用的興起,以及關鍵信息基礎設施安全保護、個人信息保護和數據安全等工作的不斷強化,也對網絡安全工作提出了更高的要求。如何實現安全合規的業務運營,成為互聯網從業者的"關鍵KPI"。
該白皮書正是在此背景下推出。騰訊相關團隊表示,本白皮書從互聯網行業在等保2.0方面的實踐痛點入手,針對當前國內企業對等保2.0關注度最高的幾大技術落地難點,如可信計算、密碼技術、IPv6合規、安全算力和安全管理中心應用等,結合騰訊在整體等保體系建設和雲安全合規建設等方面的實踐及解決方案進行解讀分析,期望為行業提供實踐參考,共同推動等級保護及企業安全建設領域的健康發展與知識共享。
此外,本白皮書中對於規範的解讀及其實踐適用於國內大多數企業,包括政府企事業單位、大型國有企業、中小型企業等,具有較高的普適意義。
本次白皮書的核心亮點摘錄如下:
· 可信計算合規實踐,從供應鏈與自研兩方面共同著手發力,一方面轉化等保相關要求傳遞至供應商形成落地方案,另一方面評估供應商方案的侷限性,開展自研安全能力建設,逐一解決並形成落地技術可行性方案。
· IPv6安全合規實踐,面對5G+IPv6+IoT所帶來的海量數據挑戰,提前預見算力的基礎設施化,利用安全算力支撐和驅動企業網絡安全以及IPv6環境下網絡安全合規需要關注的重點。
· 密碼技術合規實踐,詳解商用密碼應用安全性評估。打造雲數據安全中臺架構,實現端到端的雲數據全生命週期安全體系,並落地面向雲平臺以及雲租戶的密碼技術應用服務。
· 等保合規實踐,從識別、預防、監測、檢測和響應五個方面來進行安全運營的體系建設。
· 安全管理標準解讀,對等保2.0安全管理三級要求的條款進行深度解讀。
· 企業合規體系建設實踐,描述了騰訊集團自身等保2.0的體系建設思路。
· 等保2.0解決方案,總結了快速完成等級保護測評全流程的五大關鍵要素,即優選測評機構、系統合理定級、準備工作充分、及時跟進流程、關鍵路徑並進。
如希望瞭解詳情,您可以點擊下方鏈接,獲取《等保2.0體系互聯網合規實踐白皮書》全文:
