2019年5月13日,国家市场监督管理总局召开新闻发布会,正式发布《信息安全技术网络安全等级保护基本要求》2.0版本,等保2.0于2019年12月1日正式实施。
(一)什么是等保2.0?
等保,即网络安全等级保护标准。2007年,《信息安全等级保护管理办法》颁布,我国信息安全等级保护制度正式实施;2008年,《信息安全等级保护基本要求》颁布,这部法规被称为等保1.0;2019年5月,网络安全等级保护制度2.0标准正式发布,包括网络安全等级保护的基本要求、测评要求、安全设计技术要求三个部分。
(二)等保2.0相比等保1.0的主要变化
(1)标准名称变化。等保2.0将标准名称改为《信息安全技术网络安全等级保护基本要求》,与《网络安全法》保持一致。其适用于各地区、各单位、各部门、各企业、各机构,覆盖全社会。
(2)定级对象变化。等保2.0将原等保1.0的定级对象由信息系统扩展至信息系统、基础信息网络、云计算平台、大数据平台、物联网系统、工业控制系统、采用移动互联技术的网络等。
(3)安全要求变化。等保2.0将安全要求分为了安全通用要求和扩展要求。首先,安全通用要求部分对1.0标准的内容进行了优化,删除或修订了过时的要求项,新增了对新型网络攻击行为防护和个人信息保护等方面的新要求。其次,针对云计算、移动互联、物联网、工业控制系统等提出了新的安全扩展要求,在使用新技术的信息系统需要同时满足“通用要求+扩展要求”。
(4)控制措施分类结构变化。等保2.0依旧保留技术和管理两个维度。
- 在技术上,由物理安全、网络安全、主机安全、应用安全、数据安全,变更为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心;
- 在管理上,从安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理,调整为安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。
(5)规定动作优化调整。由等保1.0的定级、备案、建设整改、等级测评和监督检查五个规定动作,变更为五个规定动作+新的安全要求,即风险评估、安全监测、通报预警、态势感知等。等保2.0标准不再自主定级,二级及以上系统定级必须经过专家评审和主管部门审核,才能到公安机关备案,整体定级更加严格;同时,70分以上才算基本符合要求,测评要求更加严格。
下图为等保1.0和等保2.0控制措施分类结果的变化:
等保测评整改,一定要找专业有资质的服务商。
SCA安全通信联盟始终关注安全通信和身份认证领域,亦在信息安全领域提供中立、专业的GDPR、网络安全等级保护、信息安全技术认证、相关合规的咨询和培训服务。欢迎关注SCA官方微信公众号“奥航智讯”留言讨论。