等保2.0与等保1.0区别
等保2.0与等保1.0区别等保2.0的定义等保2.0全称网络安全等级保护2.0制度,是我国网络安全领域的基本国策、基本制度。等级保护标准在1.0时代标准的基础上,注重主动防御,从被动防御到事前、事中、事后全流程的安全可信、动态感知和全面审计,实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联网和工业控制信息系统等级保护对象的全覆盖。、等保2.0的意义:等级保护意义...
等保2.0与等保1.0区别
等保2.0的定义
等保2.0全称网络安全等级保护2.0制度,是我国网络安全领域的基本国策、基本制度。等级保护标准在1.0时代标准的基础上,注重主动防御,从被动防御到事前、事中、事后全流程的安全可信、动态感知和全面审计,实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联网和工业控制信息系统等级保护对象的全覆盖。、
等保2.0的意义:
等级保护意义
有利于突出重点 ,加强安全建设和管理
有利于控制信息安全建设的成本,平衡安全建设与成本
等级保护对国家意义
为了构建国家信息安全保障体系
提高信息系统安全防护能力
带有很强技术性的国家风险管控行为
意义变化:
由信息安全等级保护变为网络安全等级保护,强调网络空间安全。网络安全法第21条、第31 条明确规定了网络运营者和关键信息基础设施运营者,都应该按网络安全等级保护制度的要求对系统进行安全保护,以法律的形式确定等级保护工作为国家网络安全的基本国策,并在法律层面确立了其在网络安全领域的基础、核心地位。
定级变化:
三级系统的定级新增了一类受侵害客体:对于公民、法人和其他组织的合法权益造成严重影响的应定为三级。
对象变化:
等保2.0实现了保护对象的全覆盖,更具普适性与指导性,对象扩大了(包括基础网络) ,通用要求加扩展要求(工控、云计算大数据、物联网、移动互联) ,更适应当前信息化高速发展所面临的新问题新挑战。
测评要求变化:
测评要求的[测评单元]中增加了[测评对象]项,进一步明确了测评的对象。测评条件更具适应性但是要求更严格(复测评周期、测评控制项的减少、合规基线上调测评75分以上合格,当然这部分要求在部分地区部分行业主管单位现行等保标准也有基于现状及预期效果有弹性要求、例如个别地区卫健委要求医院等保初次等保测评合格分数基线为80分,复测评合格分数基线为85分)、某省金融行业等保测评合格分数基线为90分。四级及以上系统复测评周期延长,改为- -年为复测评周期,兼顾考虑了实际等级保护工作的所面临的复杂情况,更符合实际工作的场景。
备案时间发生变化
在备案环节原30天内备案的时间缩短为10个工作日。等保2.0的定级,不是自主定级,到公安机关定级备案前要新增两个关键环节,确保定级备案的严谨与准确。第一对于定级对象的等级要经过专家评审;第二要经得主管部门门审核通过,才能到公安机关备案确定最终等级保护对象的级别,整体定级更加严格;新建的第三级以上定级对象,通过等级测评后方可投入运行,加强“同步性”原则(同步规划、同步建设、同步使用)
框架变化
从等保2.0框架中能够体现”一个中心,三重防护”的思想得以升华,等保2.0标准体系相比现行等保标准的安全体系更注重动态防御(变被动防护为主动防护,变静态防护为动态防护,变单点防护为整体防控,变粗放防护为精准防护) ,强调事前预防、事中响应、事后审计。等级保护2.0体系中要求应依据国家网络安全等级保护政策和标准,开展组织管理、机制建设、安全规划、安全监测、通报预警、应急处置、态势感知、能力建设、监督检查、技术检测、安全可控、队伍建设、教育培训和经费保障等工作。
个人信息的变化
个人信息安全做为网络安全法的内容在等保要求控制项
中也独立出现,在当前政务互通、人物互联, 个人信息被广
泛采集的商业、政务环境下,意指提升个人信息保护的重要
性和必要性。
可信计算的变化:
新标准强化了可信计算技术使用的要求,把可信验证列入各个级别并逐级提出各个环节的主要可信验证要求。
- 可信验证一级:可基于可信根对设备的系统引导程序、系统程序等进行可信验证,并在检测到其可信性受到破坏后进行报警。
- 可信验证四级:可基于可信根对设备的系统引导程序、系统程序等进行可信验证,并在检测到其可信性受到破坏后进行报警。”可基于可信根对设备的系统引导程序、系统程序、重要配置多数和通信应用程序等进行可信验证,并在应用程序的所有执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心,并进行动态关联感知。
更多推荐
所有评论(0)