等保2.0 VS等保1.0
日期:2019-01-03 11:13:32
投稿人:比特豹
與等保1.0相比,等保2.0主要變化體現(xiàn)在以下方面:
1)《網(wǎng)絡(luò)安全法》已經(jīng)將等級保護制度上升為法律
原信息安全等保標準叫做“信息安全等級保護制度”�����,現(xiàn)在叫“網(wǎng)絡(luò)安全等級保護制度”����,與《中華人民共和國網(wǎng)絡(luò)安全法》中的相關(guān)法律條文保持一致�,等級保護從傳統(tǒng)的信息系統(tǒng)層面上升到了網(wǎng)絡(luò)空間安全的層面。
2)定級方式更加規(guī)范化
等保2.0的定級并不是1.0標準下的用戶自主定級����,而是要參照定級指南進行定級�����,等保工作更加規(guī)范化。
3)等級保護工作內(nèi)容擴展
除了滿足等保1.0時代定級、備案��、建設(shè)整改�����、等級測評和監(jiān)督檢查五個規(guī)定動作以外�,等保2.0把風(fēng)險評估����、安全監(jiān)測、通報預(yù)警�����、案事件調(diào)查等措施都將全部納入等級保護制度并加以實施。
4)等級保護對象進一步擴展
等保進入2.0時代����,保護對象從傳統(tǒng)的網(wǎng)絡(luò)和信息系統(tǒng)����,向“云大物智移”上擴展���,大型互聯(lián)網(wǎng)企業(yè)、基礎(chǔ)網(wǎng)絡(luò)���、重要信息系統(tǒng)、網(wǎng)站���、大數(shù)據(jù)中心����、云計算平臺��、物聯(lián)網(wǎng)系統(tǒng)��、移動互聯(lián)網(wǎng)�����、工業(yè)控制系統(tǒng)、公眾服務(wù)平臺等都納入了等級保護的范圍���。
5) 等級保護體系升級
橫向擴展了對云計算�����、移動互聯(lián)�����、物聯(lián)網(wǎng)�����、工業(yè)控制等新的安全要求;縱向延伸了對等保測評機構(gòu)的規(guī)范管理����。
6)控制措施分類結(jié)構(gòu)變化
等保2.0依舊保留技術(shù)和管理兩個維度,而具體要求由10個分類調(diào)整為8個分類���。
7)標準控制點和要求項變化
等保2.0在控制點要求上并沒有明顯增加��,通過合并整合后相對舊標準略有縮減���。
以三級為例,在物理和環(huán)境安全控制類下�����,等保2.0控制點未發(fā)生變化�����,要求項由原來的32項調(diào)整為22項���;在網(wǎng)絡(luò)和通信安全類下�����,新標準減少了結(jié)構(gòu)安全���、邊界完整性安全�����、網(wǎng)絡(luò)設(shè)備防護三個控制點����,增加了網(wǎng)絡(luò)架構(gòu)����、通信傳輸����、邊界防護����、集中管控四個控制點,要求項總數(shù)還是33項���,但內(nèi)容有所變化��。在設(shè)備和計算安全類下����,新標準減少了剩余信息保護一個控制點��,在測評對象上把網(wǎng)絡(luò)設(shè)備����、安全設(shè)備也納入了此層面的測評范圍��,要求項由原來的32項調(diào)整為26項�����;新標準將應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)兩個層面合并為應(yīng)用和數(shù)據(jù)安全一個層面����,減少了通信完整性、通信保密性����、和抗抵賴三個控制點,增加了個人信息保護控制點����,要求項則納入了網(wǎng)絡(luò)和通信安全層面的通信傳輸控制點,要求項由原來的39項調(diào)整為33項�。
8) 技術(shù)保障體系升級
舊標準更偏重于對于防護的要求,而等保2.0標準�����,結(jié)合近些年網(wǎng)絡(luò)與信息技術(shù)的新變化����,補充提出了對云計算����、物聯(lián)網(wǎng)���、移動互聯(lián)網(wǎng)和工業(yè)控制系統(tǒng)的安全防護要求,更適應(yīng)當前網(wǎng)絡(luò)安全形勢的發(fā)展���,結(jié)合《網(wǎng)絡(luò)安全法》中對于持續(xù)監(jiān)測��、威脅情報�����、快速響應(yīng)類的要求提出了具體的落地措施�。
這些諸多細粒度的變化�����,從制度層面給用戶帶來了一次知識更新的要求��,同時也是為用戶構(gòu)建更加強大的安全能力提供了體系化的制度保障����。可以說�,等級保護2.0是一次網(wǎng)絡(luò)安全的重大升級����。
隨著等保2.0標準的逐步落實�����,國內(nèi)信息安全產(chǎn)品市場將迎來更大的發(fā)展�����。第三級以上的信息系統(tǒng)為符合等保2.0時代國家信息安全等級保護政策的新要求�,將進一步加大信息安全產(chǎn)品和服務(wù)的投入���。等保2.0把包括傳統(tǒng)網(wǎng)絡(luò)安全���、云計算��、物聯(lián)網(wǎng)����、移動互聯(lián)、工業(yè)控制�、大數(shù)據(jù)等新業(yè)態(tài)也納入監(jiān)管,實際上比等保1.0拓展了一個維度�����。
(文章摘自: 天億網(wǎng)絡(luò)安全 )
