等保2.0基本要求包含哪些?等保2.0与1.0的区别
等保2.0基本要求涵盖技术与管理两大维度。技术层面包括安全物理环境、安全通信网络、安全区域边界、安全计算环境及安全管理中心。管理层面强调安全管理体系建设、安全策略规划、风险评估、事件管理及审计监控,形成“三重防护+动态防御”体系。
一、等保2.0基本要求
安全保护等级划分:划分为五个等级
第一级(自主保护级):信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成一般损害;
第二级(指导保护级):信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成严重损害;
第三级(监督保护级):信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成危害;
第四级(强制保护级):信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重危害;
第五级(专控保护级):信息系统受到破坏后,会对国家安全造成特别严重危害。不同等级的信息系统,在安全技术和安全管理上需要满足不同的要求。
1.技术要求:
安全物理环境:包括机房选址、物理访问控制等多方面,确保物理环境安全、稳定。
安全通信网络:要求采用安全可靠的通信技术和设备,确保通信数据的机密性、完整性和可用性。
安全区域边界:要求根据业务需求和安全策略进行合理规划,确保访问控制策略的有效实施。
安全计算环境:要求采用安全可靠的计算设备和操作系统,确保数据的机密性、完整性和可用性。
安全管理中心:集中监控和管理安全设备的状态,收集和分析安全事件,提供安全策略的统一配置和管理,支持安全事件的响应和处置流程。
2.安全管理要求:
安全管理体系建设:要求建立健全的安全管理体系。
信息系统安全策略和规划:要求制定明确的安全目标和保障措施。
安全风险管理:要求进行全面的安全风险评估和管理。
安全事件管理:要求建立健全的安全事件管理机制。
安全审计和监控:要求建立有效的安全审计和监控机制。
3.其他要求:
可信计算:等保2.0强调了可信体系的重要性,把可信验证列入各个级别并逐级提出各个环节的主要可信验证要求,强调通过密码技术、可信验证、安全审计和态势感知等建立主动防御体系。
针对特殊应用场景的安全扩展要求:针对云计算、大数据、移动互联网、物联网和工业控制系统等新技术和新应用领域提出新要求,形成了安全通用要求+新应用安全扩展要求构成的标准要求内容。
二、等保2.0与1.0的区别
名称与法律效力:
等保1.0:被称为“信息系统安全等级保护”,更多是指导性和推荐性的安全标准。
等保2.0:被称为“网络安全等级保护”,随着《网络安全法》的实施,将网络安全等级保护制度上升为法律义务,对网络运营者提出了明确的法律要求。
保护对象:
等保1.0:主要针对传统的计算机信息系统。
等保2.0:保护对象扩展到了网络基础设施、云计算平台/系统、采用移动互联技术的系统、物联网、工业控制系统等新型信息基础设施,实现了对更多种类信息系统的全面覆盖。
安全等级划分:
等保1.0:将信息系统分为四个等级:一级、二级、三级、四级。
等保2.0:将等级细分为五个:一级、二级、三级、四级、五级,覆盖了更广泛的系统类型,每个等级对应不同的安全保护要求。
安全要求与控制措施分类:
等保1.0:主要关注网络安全、系统安全、数据库安全等,控制措施分类为10个分类。
等保2.0:增加了对云计算、移动互联、物联网、工业控制和大数据等新技术新应用的覆盖,安全要求更加全面,包括安全威胁防护、数据传输安全、业务安全管理等。控制措施分类调整为8个分类,分为技术部分和管理部分,更加系统和精细。
定级流程与风险评估:
等保1.0:定级流程相对简单,未明确包含风险评估方法。
等保2.0:定级流程更加严格和全面,包括法律法规、标准要求、安全体系建设以及实施环节的细化和规范化。同时,引入了风险评估模型(RAM),用于评估信息系统和网络面临的安全风险。
适应的新技术新应用:
等保1.0:较少涉及新技术新应用的安全要求。
等保2.0:针对云计算、大数据、物联网、移动互联网等新兴技术提出了专门的安全扩展要求,确保这些新技术在应用过程中的安全性。
安全管理:
等保2.0:相比等保1.0,更加强调了安全管理的重要性,要求建立完善的安全管理体系,包括安全策略、管理制度、人员培训、应急预案等。
三、等保2.0实行时间
等保2.0相关国家标准于2019年5月10日正式发布,2019年12月1日开始实施。
等保2.0通过分级保护五级划分、对象扩展及合规驱动,构建适应新技术发展的动态安全体系。企业需结合自身业务场景,落实技术防护与管理要求,定期开展风险评估与整改,确保信息系统持续符合等保2.0标准。
