解读等保2.0 | 基本要求发生了哪些变化?

1、名称的变化

新增物联网安全扩展要求

增加:从一级到四级均在“安全通信网络”、“安全区域边界”和“安全计算环境”中增加了“可信验证”控制点(和GB/T 25070设计要求保持一致)。

图注:等级保护对象定级结果组合

新增移动互联安全扩展要求

采用移动互联技术的选用移动互联安全扩展要求

原结构: “物理安全”、“网络安全”、“主机安全”、“应用安全”、“数据安全和备份与恢复”(GB/T 22239-2008对各级技术要求的分类)。

2、分类结构的变化

新增工业控制系统安全扩展要求

6、二级以上增加“安全管理中心”

控制点数量:

图注:安全管理中心模型图

控制项数量:

采用云计算技术的选用云计算安全扩展要求

基本要求的内容变更为“安全通用要求”和“安全扩展要求”,调整如下:

物联网选用物联网安全扩展要求

新增云计算安全扩展要求

控制点变化:

增加:从二级以上开始增加了“安全管理中心”要求,并在“安全管理中心”中增加了“系统管理、审计管理”和“安全管理”控制点要求;

7、安全通用要求控制点和要求项的变化

保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改的信息安全类要求(简记为S);

要求项变化:

根据等级保护对象采用新技术和新应用的情况,选用相应级别的安全扩展要求作为补充:

4、取消了安全控制点的标注

现名:GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》;

调整原因:为了与网络安全法提出的“网络安全等级保护制度”保持一致。

工业控制系统选用工业控制系统安全扩展要求

保护系统连续正常的运行,免受对系统的未授权修改、破坏而导致系统不可用的服务保证类要求(简记为A);

增加:三级以上增加内容为“系统管理”、“审计管理”、“安全管理”和“集中管控”。

增加:二级增加内容为“系统管理”和“审计管理”;

等级保护基本要求作为指导开展等级保护的建设整改、等级测评和监督检查等工作等重要标准,其在等级保护技术体系中具有核心地位。

取消:对控制点的“S”、“A”、“G”标注的使用,调整原标准附录B,简化了标准正文部分的内容。

由于等级保护对象承载的业务不同,对其的安全关注点会有所不同,有的更关注信息的安全性,有的更关注业务的连续性。

调整安全通用要求

8、新增的扩展要求控制点和控制项数量

2、在扩展要求方面,新增云计算安全、移动互联安全、物联网安全、工业控制安全新的要求,等保工作将面临新的挑战。

其他安全保护类要求(简记为G)。

原名:GB/T22239-2008《信息安全技术 信息系统安全等级保护基本要求》;

3、内容的变化

本标准中所有安全管理要求和安全扩展要求均标注为G。

5月10日,等保2.0基本要求已正式发布。本篇就重点介绍等保2.0和等保1.0基本要求的相关变化。

1、 在基本要求通用要求方面,等保2.0控制点和1.0差不多,要求项精炼整合后数量减少;

山石网科点评

现结构:“安全物理环境”、“安全通信网络”、“安全区域边界”、“安全计算环境”、“安全管理中心”,GB/T 22239-2019 各级管理要求的分类和GB/T22239-2008一致。

增加:在等保2.0基本要求附录A中,增加安全控制措施控制点的标注及使用说明,大家可根据附录A选择和使用安全通用要求和安全扩展要求的控制点。

1.jpg

5、充分强化可信计算技术使用的要求