等保2.0的变化
2.1法律地位得到确认
《中华人民共和国网络安全法》第21条规定“国家实行网络安全等级保护制度”,要求“网络运营者应当按照网络安全等级保护制度要求,履行安全保护义务”;第31条规定“对于国家关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护”。
2.2等级保护对象不断拓展
随着云计算、移动互联、大数据、物联网、人工智能等新技术不断涌现,计算机信息系统的概念已经不能涵盖全部,特别是互联网快速发展带来大数据价值的凸显,等保保护对象的外延将不断拓展。
2.3强化可信计算
网络安全等级保护2.0构建以可信计算技术为基础的等级保护核心技术体系,强化了可信体系的这一重要思想 。
2.4通用要求的变化
通用要求包括安全通用要求,云计算安全扩展要求,移动互联安全扩展要求,物联网安全扩展要求,工业控制系统安全扩展要求。网络安全等级保护2.0通用要求的核心是优化。
新增重点内容:新型网络攻击防护从内到外、突出运维审计、安全管理中心、独立安全区域、邮件安全防护、运行状态监控、安全审计时间要求、集中日记审计、可信运算要求、安全事件识别分析、个人信息防护。
2.5扩展要求的变化
等级保护2.0拆分成了1个通用要求和4个扩展要求。将共性安全保护需求列为安全通用要求,针对云计算、大数据、工业控制系统和移动互联技术等不同领域的安全保护需求提出了安全扩展要求。等保2.0依旧保留技术和管理两个维度。二级要求项由175项变更为135项,三级要求项由290项变为211项在技术上,由物理安全、网络安全、主机安全、应用安全、数据安全,变更为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心;在管理上,结构上没有太大的变化,从安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理,调整为安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理
(1)云计算平台安全扩展要求
责任主体一分为二,测评对象需要增加。
等保级别匹配
云计算平台需要单独定级备案
云计算平台需要通过等级保护测评
同一云计算平台可承载不同级别的信息系统
云计算平台不能承载高于平台级别的信息系统
(2)大数据安全扩展要求
应将具有统一安全责任单位的大数据作为一个整体对象定级。
(3)物联网安全扩展要求
物联网应作为一个整体对象定级,主要包括感知层、网络传输层和处理应用层要素。
(4)移动互联网的安全扩展要求
移动互联技术应作为一个整体对象定级,移动终端、移动应用和无线网络等要素不单独定级,与采用移动互联技术等级保护对象的应用环境和应用对象一起定级。
(5)工业控制系统扩展要求
工业控制系统主要由生产管理层、现场设备层、现场控制层和过程监控层构成,其中:生产管理层的定级对象确定原则见(其他信息系统)。设备层、现场控制层和过程监控层应作为一个整体对象定级,各层次要素不单独定级。对于大型工业控制系统,可以根据系统功能、控制对象和生产厂商等因素划分为多个定级对象。