1. <td id="ofi3d"></td>

          <pre id="ofi3d"></pre>
        2. 行業新聞

          等級保護2.0系列問答(三)

          第11問:等保2.0與等保1.0有哪些區別?



          “等保1.0” 在《GB17859 計算機信息系統安全保護等級劃分準則 》以及隨后多項政策文件引導下,并最終在2008年發布的《GB/T22239-2008 信息安全技術 信息系統安全等級保護基本要求 》、《GB/T 22240-2008《信息安全技術 信息系統安全等級保護定級指南》等一系列信息安全等級保護標準,我們將2008版本的一系列標準及其配套政策文件習慣稱為等保1.0。

          “等保2.0”是2014年3月開始,由公安部牽頭組織開展了等級保護重點標準申報國家標準的工作,并從2015年開始陸續對外發布草稿、征集意見稿,修訂了通用安全要求,增加了云計算、大數據、移動互聯、工控、物聯網等安全擴展要求,內容包括 網絡安全等級保護基本要求 、安全通用要求和安全擴展要求,我們習慣稱為等保2.0。

          等保1.0和等保2.0區別主要體現在以下幾個方面:

          一、 名稱上的變化:


          名稱上由“信息安全等級保護”轉變為“網絡安全等級保護”;

          二、 法律效力不同:


          立法基礎不同,等保1.0是以1994年國務院頒布的147號令《計算機信息系統安全保護條例》為立法依據,立法基礎為行政法規。
          而等保2.0則是以經過全國人力通過的《中華人民共和國網絡安全法》為立法依據,《網絡安全法》第21條“國家實行網絡安全等級保護制度,要求網絡運營者應當按照網絡安全等級保護制度要求,履行安全保護義務”。

          三、 保護對象有擴展:


          等保1.0主要包括基礎信息網絡和信息系統。而等保2.0將網絡基礎設施、重要信息系統、網站、大數據中心、云計算平臺、物聯網、工控系統 、公眾服務平臺、互聯網企業等全部納入等級保護監管。

          四、 控制措施分類不同:


          等保1.0按照技術和管理各5個方面的要求進行分類,技術要求分為物理安全、網絡安全、主機安全、應用安全、數據安全及備份恢復,管理要求分我安全管理制度、安全管理機構、人員安全管理、系統建設管理和系統運維管理。

          等保2.0則有很大的變化。技術要求分為安全物理環境、安全通信邊界、安全區域邊界、安全計算環境、安全管理中心,管理要求分為安全管理制度、安全管理機構、安全人員管理、安全建設管理和安全運維管理。明顯可以看出,等保2.0的分類與等保安全設計要求保持了一致性。

          五、 內容進行了擴充:


          等保1.0規定了五個規定性動作,包括定級、備案、建設整改、測評和監督檢查。而等保2.0除了定級、備案、建設整改、測評和監督檢查之外,增加了風險評估、安全監測、通報預警、案事件調查、數據防護、災難備份、應急處置、自主可控、供應鏈安全、效果評價、綜治考核等。

          六、 定級備案流程有所變化:


          等保1.0定級原則是“自主定級、自主保護”。而等保2.0則采取了專家評審, 主管部門審核的方式。將原有的30天內備案縮短為10個工作日,并明確了定級流程分為:確定定級對象、初步確定等級、專家評審、主管部門審核、公安機關備案。

          七、 等級測評要求不同:


          等保1.0要求三級系統至少每年進行一次等級測評,四級系統至少每半年進行一次等級測評。而等保2.0則要求網絡運營者選擇符合國家規定條件的測評機構,對三級以上系統每年開展等級測評,也就是說四級系統每年至少保證一次等級測評,降低了網絡運營者的管理壓力。

          等保1.0要求60分基本符合,而在等保2.0里,測評達到75分以上才算基本符合。


          第12問:與等級保護1.0相比等級保護2.0定級方面有哪些改進?



          首先,等保2.0中取消了“自主定級、自主保護”的定級原則。采取專家評審, 主管部門審核的定級方式。

          其次,定級流程一般應當包括確定定級對象、初步確定等級、專家評審、主管部門審核以及公安機關備案審查等步驟,由公安機關審查通過后最終確定定級對象的安全保護等級。對于被初步確定為第二級及以上的定級對象,上述流程必須嚴格遵守,對于被初步確定為第四級的定級對象,在開展專家評審工作時,其運營使用單位還應當報請國家信息安全等級保護專家評審委員會進行評審。

          再次,在具體定級時,《定級指南》針對基礎信息網絡、云計算平臺和大數據平臺進行了特別規定,相關平臺應根據其承載或將要承載的等級保護對象的重要程度確定其安全保護等級,原則上應不低于其承載的等級保護對象的安全保護等級。

          最后,強化了對公民、法人和其他組織合法權益的保護。等保1.0中,對“公民、法人和其他組織”權益遭到特別嚴重侵害時,確定的保護等級為二級。而在等保2.0中,等級確定為三級。




          等保1.0中的等級確定


          等保2.0中的等級確定


          第13問:等級保護2.0的安全通用要求有哪些變化?


          一、等保2.0安全通用要求調整了控制措施分類

          技術要求分為安全物理環境、安全通信邊界、安全區域邊界、安全計算環境、安全管理中心,管理要求分為安全管理制度、安全管理機構、安全人員管理、安全建設管理和安全運維管理。

          安全要求項有所變化:
          等保1.0二級系統要求為175項,等保2.0減少為145項;
          等保1.0三級系統要求為290項,等保2.0減少為231項;
          等保1.0四級系統要求為318項,等保2.0減少為241項。

          二、安全防護思路變化

          等保1.0防護思路是事前預防、事中響應、事后審計的縱深防御思路。
          等保2.0標準則在“一個中心、三重防護” 的理念基礎上,注重全方位主動防御、安全可信、動態感知和全面審計。

          三、增加了新內容

          等保2.0刪除了過時的測評項,對測評項進行合理性修改,新增對新型網絡攻擊行為防護和個人信息保護等新要求。

          對集中管控提出了明確要求,集中管控將成為一個新的需求點。

          等保2.0中對可信計算及密碼技術的應用提出了明確要求,這將很大促進可信計算及密碼技術的推廣及應用。


          第14問:等保2.0安全通用要求與擴展安全要求之間的關系?



          等保2.0基本要求分為安全通用要求和安全擴展要求。其中安全通用要求針對共性化保護需求提出,等級保護對象無論以何種形式出現,必須根據安全保護等級實現相應級別的安全通用要求。

          安全擴展要求針對個性化保護需求提出,需要根據安全保護等級和使用的特定技術或者特定的應用場景實現安全擴展要求。


          第15問:等保2.0安全通用技術要求有哪些特點?


          等保2.0安全通用要求在技術要求方面,“從面到點”提出安全要求,“安全物理環境”主要對機房設施提出要求,”安全通信網絡”和“安全區域邊界”主要對網絡整體提出要求,”安全計算環境”主要對構成節點提出要求對數據完整性和數據備份恢復提出要求。

          等保2.0安全通用要求在管理要求方面,“從元素到活動”提出安全要求,“安全管理制度”、“安全管理機構”及“安全管理人員”主要提出了管理不可缺少的制度、機構和人員三要素,“安全建設管理”及“安全運維管理”主要提出了建設過程和運維過程的安全活動管理要求。

          聯系我們

          聯系人:

          手 機:13308321100

          郵 箱:hf@cqwonder.com

          公 司:重慶網鼎科技有限公司

          地 址:渝中區石油路1號(恒大名都)6幢 1-4#

          用手機掃描二維碼關閉
          二維碼
          最好看的最新高清中文字幕
              1. <td id="ofi3d"></td>

                <pre id="ofi3d"></pre>