等保 2.0 对比解读

一、等保 2.0 出台历程

《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239-2008)在我国推行信息安全等级保护制度的过程中起到了非常重要的作用, 被广泛用于各行业或领域, 指导用户开展信息系统安全等级保护的建设整改、等级测评等工作。随着信息技术的发展, 已有 10 年历史的《GB/T 22239-2008》在时效性、易用性、可操作性上需要进一步完善。

 

2014 年, 全国信息安全标准化技术委员会(以下简称安标委)下达了对《GB/T 22239-2008》进行修订的任务。标准修订主要承担单位为公安部第三研究所(公安部信息安全等级保护评估中心), 20 多家企事业单位派人员参与了标准的修订工作。

 

2019 年《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)将正式实施。观星分析了《GB/T 22239-2019》相较《GB/T 22239-2008》发生的主要变化, 以便大家更好地了解和掌握《GB/T 22239-2019》的内容。

 

二、等保 2.0 新变化

1. 基本变化

微信图片_20190926153214

 

2. 其他变化

微信图片_20190926153219

 

此外,等保 2.0 取消了原来安全控制点的 S、A、G 标注, 增加附录 A“ 关于安全通用要求和安全扩展要求的选择和使用” , 描述等级保护对象的定级结果和安全要求之间的关系, 说明如何根据定级的S、A结果选择安全要求的相关条款, 简化了标准正文部分的内容。

 

等保 2.0 还增加了附录 C 描述等级保护安全框架和关键技术、附录 D 描述云计算应用场景、附录 E 描述移动互联应用场景、附录 F 描述物联网应用场景、附录 G 描述工业控制系统应用场景、附录 H 描述大数据应用场景。

 

三、等保 2.0 中对安全管理的要求

 

管理要求分类体现了从要素到活动的综合管理思想。安全管理需要的“机构” 、“ 制度” 和“人员” 三要素缺一不可, 同时还应对系统建设整改过程中和运行维护过程中的重要活动实施控制和管理。对级别较高的等级保护对象需要构建完备的安全管理体系。

 

1. 安全管理制度

安全通用要求中的安全管理制度部分是针对整个管理制度体系提出的安全控制要求, 涉及的安全控制点包括安全策略、管理制度、制定和发布以及评审和修订。

 

2. 安全管理机构

安全通用要求中的安全管理机构部分是针对整个管理组织架构提出的安全控制要求, 涉及的安全控制点包括岗位设置、人员配备、授权和审批、沟通和合作以及审核和检查。

 

3. 安全管理人员

安全通用要求中的安全管理人员部分是针对人员管理模式提出的安全控制要求, 涉及的安全控制点包括人员录用、人员离岗、安全意识教育和培训以及外部人员访问管理。

 

4. 安全建设管理

安全通用要求中的安全建设管理部分是针对安全建设过程提出的安全控制要求, 涉及的安全控制点包括定级和备案、安全方案设计、安全产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评和服务供应商管理。

 

5. 安全运维管理

安全通用要求中的安全运维管理部分是针对安全运维过程提出的安全控制要求, 涉及的安全控制点包括环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理和外包运维管理。

2019年9月26日 15:23
网站首页    等保 2.0 对比解读