一、基本要求的名稱變更
等保1.0的名稱為《信息安全技術 信息系統安全等級保護基本要求》
等保2.0的名稱為《信息安全技術 網絡安全等級保護基本要求》(與《網絡安全法》中的相關法律條文保持一致)
二、定級對象的變化
安全等級保護的對象包括網絡基礎設施(廣電網、電信網、專用通信網絡等)、雲計算平台/系統、大數據平台/系統、物聯網、工業控制系統、采用移動互聯技術的系統等。
定級程度有所上升,提高了對公民、法人和其他組織的合法權益這一侵害客體的侵害程度定級,其中特別嚴重損害程度由從原來的第二級升級為第三級。
三、安全要求的變化
原來的 “安全要求” 變為 “安全通用要求和安全擴展要求”
安全通用要求是不管等級保護對象形態如何必須滿足的要求,針對雲計算、移動互聯、物聯網和工業控制系統提出了特殊要求,稱為安全擴展要求。
四、安全通用要求控制欲和控制節點的變化
結構和分類調整為:
技術部分:
安全物理環境、安全通信網絡、安全區域邊界、安全計算環境、安全管理中心
管理部分:
安全管理制度、安全管理機構、安全管理人員、安全建設管理、安全運維管理
五、新增4個安全擴展要求
雲計算安全擴展要求,對雲計算環境主要增加的內容包括“基礎設施的位置”、“虛擬化安全保護”、“鏡像和快照保護”、“雲服務商選擇”和“雲計算環境管理”等方面。
移動互聯安全擴展要求,對移動互聯環境主要增加的內容包括“無線接入點的物理位置”、“移動終端管控”、“移動應用管控”、“移動應用軟件采購”和“移動應用軟件開發”等方面。
物聯網安全擴展要求,對物聯網環境主要增加的內容包括“感知節點的物理防護”、“感知節點設備安全”、“感知網關節點設備安全”、“感知節點的管理”和“數據融合處理”等方面。
工業控制系統安全擴展要求,對工業控制系統主要增加的內容包括“室外控制設備防護”、“工業控制系統網絡架構安全”、“撥號使用控制”、“無線使用控制”和“控制設備安全”等方面。