等保2.0
2017年,《中华人民共和国网络安全法》的正式实施,标志着等级保护2.0的正式启动。
2019年5月13日,国家市场监督管理总局、国家标准化管理委员会正式发布了网络安全等级制度保护2.0标准和规范,并将于2019年12月1日开始实施。
等保2.0和等保1.0对比,存在的变化:
(1) 名称上的变化
由“信息系统安全等级保护”改为“网络安全等级保护”,与相关法律条文保持一致,等级保护从传统的信息系统层面上升到网络空间安全的层面。
(2) 定级对象变化
等保1.0的定级对象是信息系统,现在等保2.0更为广泛,包含:基础信息网络、云计算平台/系统、大数据应用/平台/资源、物联网(IoT)、工业控制系统、采用移动互联技术的系统等。
(3) 安全要求变化
基本要求的内容,由安全要求变革为安全通用要求与安全扩展要求(含云计算、移动互联、物联网、工业控制)。
(4) 控制措施分类结构变化
等保2.0依旧保留技术和管理两个维度。
[1] 在技术上,由物理安全、网络安全、主机安全、应用安全、数据安全,变更为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心。
[2] 在管理上,结构上没有太大的变化,从安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理,调整为安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。
(5) 内容变化
从等保1.0的定级、备案、建设整改、等级测评和监督检查五个规定动作,变更为五个规定动作和新的安全要求(风险评估、安全监测、通报预警、态势感知等)。
等保2.0和等保1.0相比,受到《中国人民共和国网络安全法》和《中华人民共和国保守国家秘密法》保障。
总的来说,等保2.0有效地提高我国信息和信息系统安全建设的整体水平。
