什么是等保2.0?
等保,即信息安全技术网络安全等级保护要求,是我国信息安全保障的一项基本制度,国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护。
等保1.0:2007年和2008年颁布实施的 《信息安全等级保护管理办法》和《信息安全等级保护基本要求》,这是我们通常认为的等保1.0。
等保2.0:《中华人民共和国网络安全法》第二十一条明确规定:“国家实行网络安全等级保护制度。”为了贯彻落实《中华人民共和国网络安全法》,适应云计算、移动互联、物联网、工业控制和大数据等新技术、新应用情况下网络安全等级保护工作,2019年5月正式发布《信息安全技术网络安全等级保护基本要求》,正式开启了等保2.0的时代。一般认为等保2.0是指《信息安全技术网络安全等级保护基本要求》及其配套标准。
等保2.0和等保1.0相比有哪些变化?
《信息安全技术网络安全等级保护基本要求》代替GB/T 22239—2008《信息安全技术信息系统安全等级保护基本要求》,与GB/T 22239—2008相比,主要变化如下:
标准的名称由“信息安全技术 信息系统安全等级保护基本要求”变更为“信息安全技术 网络安全等级保护基本要求”。
调整分类为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。
调整各个级别的安全要求为安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求和工业控制系统安全扩展要求。
取消了原来安全控制点的S、A、G标注,增加一个附录A描述等级保护对象的定级结果和安全要求之间的关系,说明如何根据定级结果选择安全要求。
什么系统需要遵守等保2.0标准?
由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统,被称为等级保护的对象,这些系统都要遵守等保2.0的相关标准。
等级保护对象,主要包括基础信息网络、云计算平台/系统、大数据应用/平台/资源、物联网、工业控制系统和采用移动互联技术的系统等。
什么系统不适用等保2.0标准?
等保2.0的标准并不适用如下:
涉密对象的安全建设和监督管理,涉密对象将另行规定和管理;
第五级等级保护对象,等保2.0即《信息安全技术网络安全等级保护基本要求》仅规定了网络安全等级保护的第一级到第四级等级保护对象的安全通用要求和安全扩展要求。
