【最实用】等级保护2.0系列问答(三)
第三波
等级保护2.0系列问答
如约而至喽~~
第11问
等保2.0与等保1.0有哪些区别?
“等保1.0” 在《GB17859 计算机信息系统安全保护等级划分准则 》以及随后多项政策文件引导下,并最终在2008年发布的《GB/T22239-2008 信息安全技术 信息系统安全等级保护基本要求 》、《GB/T 22240-2008《信息安全技术 信息系统安全等级保护定级指南》等一系列信息安全等级保护标准,我们将2008版本的一系列标准及其配套政策文件习惯称为等保1.0。
“等保2.0”是2014年3月开始,由公安部牵头组织开展了等级保护重点标准申报国家标准的工作,并从2015年开始陆续对外发布草稿、征集意见稿,修订了通用安全要求,增加了云计算、大数据、移动互联、工控、物联网等安全扩展要求,内容包括 网络安全等级保护基本要求 、安全通用要求和安全扩展要求,我们习惯称为等保2.0。
等保1.0和等保2.0区别主要体现在以下几个方面:
一、 名称上的变化:
名称上由“信息安全等级保护”转变为“网络安全等级保护”;
二、 法律效力不同:
立法基础不同,等保1.0是以1994年国务院颁布的147号令《计算机信息系统安全保护条例》为立法依据,立法基础为行政法规。
而等保2.0则是以经过全国人大通过的《中华人民共和国网络安全法》为立法依据,《网络安全法》第21条“国家实行网络安全等级保护制度,要求网络运营者应当按照网络安全等级保护制度要求,履行安全保护义务”。
三、 保护对象有扩展:
等保1.0主要包括基础信息网络和信息系统。而等保2.0将网络基础设施、重要信息系统、网站、大数据中心、云计算平台、物联网、工控系统 、公众服务平台、互联网企业等全部纳入等级保护监管。
四、 控制措施分类不同:
等保1.0按照技术和管理各5个方面的要求进行分类,技术要求分为物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复,管理要求分我安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理。
等保2.0则有很大的变化。技术要求分为安全物理环境、安全通信边界、安全区域边界、安全计算环境、安全管理中心,管理要求分为安全管理制度、安全管理机构、安全人员管理、安全建设管理和安全运维管理。明显可以看出,等保2.0的分类与等保安全设计要求保持了一致性。
五、 内容进行了扩充:
等保1.0规定了五个规定性动作,包括定级、备案、建设整改、测评和监督检查。而等保2.0除了定级、备案、建设整改、测评和监督检查之外,增加了风险评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处置、自主可控、供应链安全、效果评价、综治考核等。
六、 定级备案流程有所变化:
等保1.0定级原则是“自主定级、自主保护”。而等保2.0则采取了专家评审, 主管部门审核的方式。将原有的30天内备案缩短为10个工作日,并明确了定级流程分为:确定定级对象、初步确定等级、专家评审、主管部门审核、公安机关备案。
七、 等级测评要求不同:
等保1.0要求三级系统至少每年进行一次等级测评,四级系统至少每半年进行一次等级测评。而等保2.0则要求网络运营者选择符合国家规定条件的测评机构,对三级以上系统每年开展等级测评,也就是说四级系统每年至少保证一次等级测评,降低了网络运营者的管理压力。
等保1.0要求60分基本符合,而在等保2.0里,测评达到75分以上才算基本符合。
第12问
与等级保护1.0相比
等级保护2.0定级方面
有哪些改进?
首先,等保2.0中取消了“自主定级、自主保护”的定级原则。采取专家评审, 主管部门审核的定级方式。
其次,定级流程一般应当包括确定定级对象、初步确定等级、专家评审、主管部门审核以及公安机关备案审查等步骤,由公安机关审查通过后最终确定定级对象的安全保护等级。对于被初步确定为第二级及以上的定级对象,上述流程必须严格遵守,对于被初步确定为第四级的定级对象,在开展专家评审工作时,其运营使用单位还应当报请国家信息安全等级保护专家评审委员会进行评审。
最后,在具体定级时,《定级指南》针对基础信息网络、云计算平台和大数据平台进行了特别规定,相关平台应根据其承载或将要承载的等级保护对象的重要程度确定其安全保护等级,原则上应不低于其承载的等级保护对象的安全保护等级。
第13问
等级保护2.0的安全通用要求
有哪些变化?
一、等保2.0安全通用要求调整了控制措施分类
技术要求分为安全物理环境、安全通信边界、安全区域边界、安全计算环境、安全管理中心,管理要求分为安全管理制度、安全管理机构、安全人员管理、安全建设管理和安全运维管理。
安全要求项有所变化:
等保1.0二级系统要求为175项,等保2.0减少为145项;
等保1.0三级系统要求为290项,等保2.0减少为231项;
等保1.0四级系统要求为318项,等保2.0减少为241项。
二、安全防护思路变化
等保1.0防护思路是事前预防、事中响应、事后审计的纵深防御思路。
等保2.0标准则在“一个中心、三重防护” 的理念基础上,注重全方位主动防御、安全可信、动态感知和全面审计。
三、增加了新内容
等保2.0删除了过时的测评项,对测评项进行合理性修改,新增对新型网络攻击行为防护和个人信息保护等新要求。
对集中管控提出了明确要求,集中管控将成为一个新的需求点。
等保2.0中对可信计算及密码技术的应用提出了明确要求,这将很大促进可信计算及密码技术的推广及应用。
第14问
等保2.0安全通用要求与
扩展安全要求之间的关系?
等保2.0基本要求分为安全通用要求和安全扩展要求。其中安全通用要求针对共性化保护需求提出,等级保护对象无论以何种形式出现,必须根据安全保护等级实现相应级别的安全通用要求。
安全扩展要求针对个性化保护需求提出,需要根据安全保护等级和使用的特定技术或者特定的应用场景实现安全扩展要求。
第15问
等保2.0安全通用技术要求
有哪些特点?
等保2.0安全通用要求在技术要求方面,“从面到点”提出安全要求,“安全物理环境”主要对机房设施提出要求,”安全通信网络”和“安全区域边界”主要对网络整体提出要求,”安全计算环境”主要对构成节点提出要求对数据完整性和数据备份恢复提出要求。
等保2.0安全通用要求在管理要求方面,“从元素到活动”提出安全要求,“安全管理制度”、“安全管理机构”及“安全管理人员”主要提出了管理不可缺少的制度、机构和人员三要素,“安全建设管理”及“安全运维管理”主要提出了建设过程和运维过程的安全活动管理要求。
点击下方链接,查看往期相关文章:
未完待续哦~~~
•
END
•