標準簡介
網絡安全等級保護2.0 是由 中華人民共和國公安部 發布的現行有效標準,常用於科技、金融銀行、電信通訊、政府、醫療健康、能源等產業,並適用於中國等市場。
本頁整理了 網絡安全等級保護2.0 的官方文件、目前狀態以及常見相關認證或評估機構,便於快速理解要求與落地路徑。
實施路線圖
定義中國網絡安全等級保護範圍
識別 MLPS 2.0 覆蓋的產品、服務、系統、實體、司法轄區、團隊、供應商、數據流和相關方。確認責任人、邊界、適用義務、文件和證據期望,範圍包括系統定級、等級確定、公安備案、基線控制、雲、移動、物聯網、工業控制、大數據擴展、組織控制、技術控制、測評、整改和持續監督。
評估義務和差距
將當前實踐與預期的中國網絡安全等級保護方法進行比較。審查資產和系統清單、等級確定、備案流程、安全區域劃分、身份和訪問控制、審計日誌、邊界防護、入侵防範、數據保護、備份、事件響應、供應商控制、測評和整改,並按法律暴露、安全或安保影響、客戶承諾、運營依賴、報告期限和保證準備度排列差距優先級。
實施控制和證據
部署所需程序、技術控制、評審關口、培訓、供應商流程、報告路徑和運行記錄。維護定級記錄、備案材料、系統圖、資產清單、訪問記錄、審計日誌、測試結果、測評報告、整改計劃、培訓記錄、事件日誌、供應商文件和監管溝通作爲可追溯證據。
評審、報告並改進
開展管理評審、內部檢查、適用情況下的測試或獨立評估、糾正措施和變更評審。當產品、供應商、法律、事件、報告週期或相關方期望變化時刷新項目。
合規檢查清單
checklist 範圍與問責
checklist 控制與記錄
checklist 監控與保證
常見問題解答
誰需要 MLPS 2.0?
expand_more
MLPS 2.0 最適用於在中國運營信息系統的網絡運營者、關鍵信息基礎設施運營者、雲平臺、工業系統和組織。具體範圍取決於產品、服務、司法轄區、報告義務、客戶承諾、技術要求,以及組織在相關生態中的角色。
MLPS 2.0 是否可認證?
expand_more
MLPS 2.0 是中國網絡安全等級保護制度,不是自願認證。系統必須按等級進行定級、備案、保護、測評和整改。
實施時應先關注什麼?
expand_more
先定義範圍、義務、責任人,以及監管機構、客戶、審計師、保證提供方、認證機構或治理機構期望的證據。然後對照當前控制開展差距評估,並按風險和期限確定整改優先級。
MLPS 2.0 需要哪些證據?
expand_more
有用證據包括定級記錄、備案材料、系統圖、資產清單、訪問記錄、審計日誌、測試結果、測評報告、整改計劃、培訓記錄、事件日誌、供應商文件和監管溝通。證據應進行版本控制,能夠追溯到責任人,關聯義務和控制,並按所需評審或審覈期間保留。
項目應多久評審一次?
expand_more
應按計劃週期評審,並在法律、標準、產品、供應商、事件、報告週期、客戶承諾、技術要求或保證期望變化時評審。