产品观察
解读等保2.0 | 基本要求发生了哪些变化?
时间:2019-05-15
时间:2019-05-15
导读:等级保护基本要求作为指导开展等级保护的建设整改、等级测评和监督检查等工作等重要标准,其在等级保护技术体系中具有核心地位。 本篇就重点介绍等保2.0和等保1.0基本要求的相关变化。
新闻中心
1、名称的变化
原名:GB/T22239-2008《信息安全技术 信息系统安全等级保护基本要求》;
现名:GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》;
调整原因:为了与网络安全法提出的“网络安全等级保护制度”保持一致。
2、分类结构的变化
原结构: “物理安全”、“网络安全”、“主机安全”、“应用安全”、“数据安全和备份与恢复”(GB/T 22239-2008对各级技术要求的分类)。
现结构:“安全物理环境”、“安全通信网络”、“安全区域边界”、“安全计算环境”、“安全管理中心”,GB/T 22239-2019 各级管理要求的分类和GB/T22239-2008一致。
3、内容的变化
基本要求的内容变更为“安全通用要求”和“安全扩展要求”,调整如下:
调整安全通用要求
新增云计算安全扩展要求
新增移动互联安全扩展要求
新增物联网安全扩展要求
新增工业控制系统安全扩展要求
根据等级保护对象采用新技术和新应用的情况,选用相应级别的安全扩展要求作为补充:
采用云计算技术的选用云计算安全扩展要求
采用移动互联技术的选用移动互联安全扩展要求
物联网选用物联网安全扩展要求
工业控制系统选用工业控制系统安全扩展要求
4、取消了安全控制点的标注
取消:对控制点的“S”、“A”、“G”标注的使用,调整原标准附录B,简化了标准正文部分的内容。
增加:在等保2.0基本要求附录A中,增加安全控制措施控制点的标注及使用说明,大家可根据附录A选择和使用安全通用要求和安全扩展要求的控制点。
保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改的信息安全类要求(简记为S);
保护系统连续正常的运行,免受对系统的未授权修改、破坏而导致系统不可用的服务保证类要求(简记为A);
其他安全保护类要求(简记为G)。
本标准中所有安全管理要求和安全扩展要求均标注为G。
5、充分强化可信计算技术使用的要求
增加:从一级到四级均在“安全通信网络”、“安全区域边界”和“安全计算环境”中增加了“可信验证”控制点(和GB/T 25070设计要求保持一致)。
6、二级以上增加“安全管理中心”
增加:从二级以上开始增加了“安全管理中心”要求,并在“安全管理中心”中增加了“系统管理、审计管理”和“安全管理”控制点要求;
增加:二级增加内容为“系统管理”和“审计管理”;
增加:三级以上增加内容为“系统管理”、“审计管理”、“安全管理”和“集中管控”。
安全管理中心模型图
7、安全通用要求控制点和要求项的变化
控制点变化:
要求项变化:
8、新增的扩展要求控制点和控制项数量
控制点数量:
控制项数量:
山石网科点评
1、 在基本要求通用要求方面,等保2.0控制点和1.0差不多,要求项精炼整合后数量减少;
2、在扩展要求方面,新增云计算安全、移动互联安全、物联网安全、工业控制安全新的要求,等保工作将面临新的挑战。
原名:GB/T22239-2008《信息安全技术 信息系统安全等级保护基本要求》;
现名:GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》;
调整原因:为了与网络安全法提出的“网络安全等级保护制度”保持一致。
2、分类结构的变化
原结构: “物理安全”、“网络安全”、“主机安全”、“应用安全”、“数据安全和备份与恢复”(GB/T 22239-2008对各级技术要求的分类)。
现结构:“安全物理环境”、“安全通信网络”、“安全区域边界”、“安全计算环境”、“安全管理中心”,GB/T 22239-2019 各级管理要求的分类和GB/T22239-2008一致。
3、内容的变化
基本要求的内容变更为“安全通用要求”和“安全扩展要求”,调整如下:
调整安全通用要求
新增云计算安全扩展要求
新增移动互联安全扩展要求
新增物联网安全扩展要求
新增工业控制系统安全扩展要求
根据等级保护对象采用新技术和新应用的情况,选用相应级别的安全扩展要求作为补充:
采用云计算技术的选用云计算安全扩展要求
采用移动互联技术的选用移动互联安全扩展要求
物联网选用物联网安全扩展要求
工业控制系统选用工业控制系统安全扩展要求
4、取消了安全控制点的标注
取消:对控制点的“S”、“A”、“G”标注的使用,调整原标准附录B,简化了标准正文部分的内容。
增加:在等保2.0基本要求附录A中,增加安全控制措施控制点的标注及使用说明,大家可根据附录A选择和使用安全通用要求和安全扩展要求的控制点。
图注:等级保护对象定级结果组合
由于等级保护对象承载的业务不同,对其的安全关注点会有所不同,有的更关注信息的安全性,有的更关注业务的连续性。保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改的信息安全类要求(简记为S);
保护系统连续正常的运行,免受对系统的未授权修改、破坏而导致系统不可用的服务保证类要求(简记为A);
其他安全保护类要求(简记为G)。
本标准中所有安全管理要求和安全扩展要求均标注为G。
5、充分强化可信计算技术使用的要求
增加:从一级到四级均在“安全通信网络”、“安全区域边界”和“安全计算环境”中增加了“可信验证”控制点(和GB/T 25070设计要求保持一致)。
6、二级以上增加“安全管理中心”
增加:从二级以上开始增加了“安全管理中心”要求,并在“安全管理中心”中增加了“系统管理、审计管理”和“安全管理”控制点要求;
增加:二级增加内容为“系统管理”和“审计管理”;
增加:三级以上增加内容为“系统管理”、“审计管理”、“安全管理”和“集中管控”。
安全管理中心模型图
7、安全通用要求控制点和要求项的变化
控制点变化:
要求项变化:
8、新增的扩展要求控制点和控制项数量
控制点数量:
控制项数量:
山石网科点评
1、 在基本要求通用要求方面,等保2.0控制点和1.0差不多,要求项精炼整合后数量减少;
2、在扩展要求方面,新增云计算安全、移动互联安全、物联网安全、工业控制安全新的要求,等保工作将面临新的挑战。
产品观察
- 2019-05-15解读等保2.0 | 如何实现数据安全的要点及技术
- 2019-05-153分钟了解 | 等保2.0云计算安全扩展要求
- 2019-05-15基于“一个中心三重防护”,山石网科落地等保2.0解决方案
- 2019-05-15解读等保2.0 | 基本要求发生了哪些变化?
- 2019-04-29Commvault防止勒索软件攻击的三种方式
行业新闻
- 2019-05-27易到用车服务器遭攻击,核心数据被加密,服务器宕机
- 2019-05-23等保2.0,我们带您一图读懂
- 2019-05-19中国芯要崛起,不怕美国卡脖子,这两家国产厂商很重要!
- 2019-05-14一文读懂 | 等保标准演变史(1.0~2.0)
- 2019-04-29网络安全等级保护制度2.0