等保2.0於2019.12.1日起正式實施,與等保1.0的相差甚大,下面將從幾個方面對二者的區別進行介紹。
標准名稱變化
GB/T 22239-2008 《信息安全技術 信息系統安全等級保護基本要求》 改為
GB/T 22239-2019 《信息安全技術 網絡安全等級保護基本要求》
GB/T 25070-2019 《信息安全技術 網絡安全等級保護安全設計技術要求》
GB/T 28448-2019 《信息安全技術 網絡安全等級保護測評要求》
保護對象變化
等保1.0大部分對象是在體制內的單位,參加測評的也更多是計算機信息系統,而2.0的保護對象向全社會擴展,覆蓋各地區、各單位、各部門、各企業、各機構,也上升到了網絡空間安全,除了計算機信息系統,還包括網絡安全系統、雲計算、物聯網、工業控制系統、大數據安全等方面。
標准內容變化
安全要求:等保2.0包括安全通用要求和安全擴展要求,各方面更加突出可信計算技術的應用,形成“一個中心,三重防護”的防御體系。
等保2.0也是基於《中華人民共和國網絡安全法》制定,針對共性安全保護需求提出安全通用要求,針對雲計算、物聯網、移動互聯、工業控制和大數據等新技術、新應用領域的個性安全保護需求提出安全擴展要求,形成新的網絡安全等級保護基本要求標准。
等保1.0:信息系統安全等級保護基本要求
等保2.0:安全通用要求
雲計算安全擴展要求
移動互聯網安全擴展要求
物聯網安全擴展要求
工業控制系統安全擴展要求
安全通用要求包括:安全物理環境、安全通信網絡、安全區域邊界、安全計算環境、安全管理制度、安全管理機構、安全管理人員、安全建議管理、安全運維管理
一個中心,三重防護:
形成“安全通信網絡”、“安全區域邊界”、“安全計算環境”和“安全管理中心”支持下的三重防護體系架構。
工作內涵變化
等保2.0工作內涵變化:增加測評活動安全管理、網絡服務管理、產品服務采購使用管理、技術維護管理、監測預警和信息通報管理、數據和信息安全保護要求、應急處置要求等內容。進一步明確了網絡定級及評審、備案及審核、等級測評、安全建設整改、自查等工作要求。