最新资讯风向标

解读等保2.0基本要求发生了哪些变化?

2021-10-05 09:54 作者: 来源: 本站 浏览: 20次 字号:

摘要:   等级保护基本要求作为指导开展等级保护的建设整改、等级测评和监督检查等工作等重要标准,其在等级保护技术体系中具有核心地位。   5月10日,等保2。0基本要求已正式发布。本篇就重点介绍等保2。0和等保1。0基本要求的相关变化。   1、名称的变化   原名:...

  等级保护基本要求作为指导开展等级保护的建设整改、等级测评和监督检查等工作等重要标准,其在等级保护技术体系中具有核心地位。

  5月10日,等保2。0基本要求已正式发布。本篇就重点介绍等保2。0和等保1。0基本要求的相关变化。

  1、名称的变化

  原名:GB/T22239-2008《信息安全技术 信息系统安全等级保护基本要求》;

  现名:GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》;

  调整原因:为了与网络安全法提出的网络安全等级保护制度保持一致。

  2、分类结构的变化

  原结构:物理安全、网络安全、主机安全、应用安全、数据安全和备份与恢复(GB/T 22239-2008对各级技术要求的分类)。

  现结构:安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心,GB/T 22239-2019 各级管理要求的分类和GB/T22239-2008一致。

1.jpg

  3、内容的变化

  基本要求的内容变更为安全通用要求和安全扩展要求,调整如下:

  调整安全通用要求

  新增云计算安全扩展要求

  新增移动互联安全扩展要求

  新增物联网安全扩展要求

  新增工业控制系统安全扩展要求

2.jpg

  根据等级保护对象采用新技术和新应用的情况,选用相应级别的安全扩展要求作为补充:

  采用云计算技术的选用云计算安全扩展要求

  采用移动互联技术的选用移动互联安全扩展要求

  物联网选用物联网安全扩展要求

  工业控制系统选用工业控制系统安全扩展要求

  4、取消了安全控制点的标注

  取消:对控制点的S、A、G标注的使用,调整原标准附录B,简化了标准正文部分的内容。

  增加:在等保2。0基本要求附录A中,增加安全控制措施控制点的标注及使用说明,大家可根据附录A选择和使用安全通用要求和安全扩展要求的控制点。

3.jpg

  

图注:等级保护对象定级结果组合

  由于等级保护对象承载的业务不同,对其的安全关注点会有所不同,有的更关注信息的安全性,有的更关注业务的连续性。

  保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改的信息安全类要求(简记为S);

  保护系统连续正常的运行,免受对系统的未授权修改、破坏而导致系统不可用的服务保证类要求(简记为A);

  其他安全保护类要求(简记为G)。

  本标准中所有安全管理要求和安全扩展要求均标注为G。

  5、充分强化可信计算技术使用的要求

  增加:从一级到四级均在安全通信网络、安全区域边界和安全计算环境中增加了可信验证控制点(和GB/T 25070设计要求保持一致)。

4.jpg

  6、二级以上增加安全管理中心

  增加:从二级以上开始增加了安全管理中心要求,并在安全管理中心中增加了系统管理、审计管理和安全管理控制点要求;

  增加:二级增加内容为系统管理和审计管理;

  增加:三级以上增加内容为系统管理、审计管理、安全管理和集中管控。

5.jpg

  

图注:安全管理中心模型图

  7、安全通用要求控制点和要求项的变化

  控制点变化:

6.jpg

  要求项变化:

7.jpg

  8、新增的扩展要求控制点和控制项数量

  控制点数量:

8.jpg

  控制项数量:

9.jpg

  山石网科点评

  1、 在基本要求通用要求方面,等保2。0控制点和1。0差不多,要求项精炼整合后数量减少;

  2、在扩展要求方面,新增云计算安全、移动互联安全、物联网安全、工业控制安全新的要求,等保工作将面临新的挑战。