@Sophia
2年前 提问
1个回答

等级保护2.0标准的变化有哪些

上官雨宝
2年前

等级保护2.0标准的变化如下:

  • 对象范围扩大:新标准将云计算、移动互联、物联网、工业控制系统等新技术、新应用的场景列入标准范围。

  • 分类结构统一:等级保护的基本要求、测评要求、设计技术要求框架统一,形成“安全通信网络”、“安全区域边界”、“安全计算环境”、“安全管理中心”支持下的完全统一的三重防护体系架构。

  • 安全要求变化:从1.0时代的“安全要求”变为2.0时代的“安全通用要求+安全扩展要求”,为近些年新兴的网络技术制定了安全标准,更有针对性。

  • 控制措施分类结构变化:从1.0时代“技术+管理”变为2.0时代“技术+管理”,控制措施的变化体现了标准制定者对网络安全提出的新要求。从1.0时代更重视防护转变为2.0时代更重视安全的运营。

  • 内容变化:等级保护2.0时代更加注重安全的动态过程,通过持续的运营去解决日益复杂的新安全隐患。

  • 防护理念的变化:通用要求方面,等保2.0标准的核心是“优化”。删除了过时的测评项,对测评项进行合理性改写,新增对新型网络攻击行为防护和个人信息保护等新要求。等保2.0标准依然采用“一个中心、三重防护” 的理念,从等保1.0标准被动防御的安全体系向事前预防、事中响应、事后审计的动态保障体系转变,注重全方位主动防御、安全可信、动态感知和全面审计。

  • 新技术要求的变化:对于等保2.0中可信计算及密码技术的应用提出了明确要求,这将很大促进可信计算及密码技术的推广及应用。

  • 定级流程的变化:等保2.0标准不再自主定级,而是通过“确定定级对象——>初步确定等级——>专家评审——>主管部门审核——>公安机关备案审查——>最终确定等级”这种线性的定级流程,系统定级必须经过专家评审和主管部门审核,才能到公安机关备案,整体定级更加严格,将促进定级过程更加规范,系统定级更加合理。

  • 测评结果的变化:等保2.0里,测评达到75分以上才算基本符合。基本分高了,要求变得更高,过等保相对以往一是没那么容易了,另一点也需要投入更多。

  • 测评周期的变化:相较于等保1.0,等保2.0标准测评周期、测评结果评定有所调整。等保2.0标准要求,第三级以上的系统每年开展一次测评,修改了原先1.0时期要求四级系统每半年进行一次等保测评的要求。