与等保1.0相比,等保2.0主要变化体现在以下方面:
1)《网络安全法》已经将等级保护制度上升为法律
原信息安全等保标准叫做“信息安全等级保护制度”,现在叫“网络安全等级保护制度”,与《中华人民共和国网络安全法》中的相关法律条文保持一致,等级保护从传统的信息系统层面上升到了网络空间安全的层面。
2)定级方式更加规范化
等保2.0的定级并不是1.0标准下的用户自主定级,而是要参照定级指南进行定级,等保工作更加规范化。
3)等级保护工作内容扩展
除了满足等保1.0时代定级、备案、建设整改、等级测评和监督检查五个规定动作以外,等保2.0把风险评估、安全监测、通报预警、案事件调查等措施都将全部纳入等级保护制度并加以实施。
4)等级保护对象进一步扩展
等保进入2.0时代,保护对象从传统的网络和信息系统,向“云大物智移”上扩展,大型互联网企业、基础网络、重要信息系统、网站、大数据中心、云计算平台、物联网系统、移动互联网、工业控制系统、公众服务平台等都纳入了等级保护的范围。
5) 等级保护体系升级
横向扩展了对云计算、移动互联、物联网、工业控制等新的安全要求;纵向延伸了对等保测评机构的规范管理。
6)控制措施分类结构变化
等保2.0依旧保留技术和管理两个维度,而具体要求由10个分类调整为8个分类。
7)标准控制点和要求项变化
等保2.0在控制点要求上并没有明显增加,通过合并整合后相对旧标准略有缩减。
以三级为例,在物理和环境安全控制类下,等保2.0控制点未发生变化,要求项由原来的32项调整为22项;在网络和通信安全类下,新标准减少了结构安全、边界完整性安全、网络设备防护三个控制点,增加了网络架构、通信传输、边界防护、集中管控四个控制点,要求项总数还是33项,但内容有所变化。在设备和计算安全类下,新标准减少了剩余信息保护一个控制点,在测评对象上把网络设备、安全设备也纳入了此层面的测评范围,要求项由原来的32项调整为26项;新标准将应用安全、数据安全及备份恢复两个层面合并为应用和数据安全一个层面,减少了通信完整性、通信保密性、和抗抵赖三个控制点,增加了个人信息保护控制点,要求项则纳入了网络和通信安全层面的通信传输控制点,要求项由原来的39项调整为33项。
8) 技术保障体系升级
旧标准更偏重于对于防护的要求,而等保2.0标准,结合近些年网络与信息技术的新变化,补充提出了对云计算、物联网、移动互联网和工业控制系统的安全防护要求,更适应当前网络安全形势的发展,结合《网络安全法》中对于持续监测、威胁情报、快速响应类的要求提出了具体的落地措施。
这些诸多细粒度的变化,从制度层面给用户带来了一次知识更新的要求,同时也是为用户构建更加强大的安全能力提供了体系化的制度保障。可以说,等级保护2.0是一次网络安全的重大升级。
随着等保2.0标准的逐步落实,国内信息安全产品市场将迎来更大的发展。第三级以上的信息系统为符合等保2.0时代国家信息安全等级保护政策的新要求,将进一步加大信息安全产品和服务的投入。等保2.0把包括传统网络安全、云计算、物联网、移动互联、工业控制、大数据等新业态也纳入监管,实际上比等保1.0拓展了一个维度。
(文章摘自: 天億网络安全 )
