等保2.0于2019.12.1日起正式实施,与等保1.0的相差甚大,下面将从几个方面对二者的区别进行介绍。
标准名称变化
GB/T 22239-2008 《信息安全技术 信息系统安全等级保护基本要求》 改为
GB/T 22239-2019 《信息安全技术 网络安全等级保护基本要求》
GB/T 25070-2019 《信息安全技术 网络安全等级保护安全设计技术要求》
GB/T 28448-2019 《信息安全技术 网络安全等级保护测评要求》
保护对象变化
等保1.0大部分对象是在体制内的单位,参加测评的也更多是计算机信息系统,而2.0的保护对象向全社会扩展,覆盖各地区、各单位、各部门、各企业、各机构,也上升到了网络空间安全,除了计算机信息系统,还包括网络安全系统、云计算、物联网、工业控制系统、大数据安全等方面。
标准内容变化
安全要求:等保2.0包括安全通用要求和安全扩展要求,各方面更加突出可信计算技术的应用,形成“一个中心,三重防护”的防御体系。
等保2.0也是基于《中华人民共和国网络安全法》制定,针对共性安全保护需求提出安全通用要求,针对云计算、物联网、移动互联、工业控制和大数据等新技术、新应用领域的个性安全保护需求提出安全扩展要求,形成新的网络安全等级保护基本要求标准。
等保1.0:信息系统安全等级保护基本要求
等保2.0:安全通用要求
云计算安全扩展要求
移动互联网安全扩展要求
物联网安全扩展要求
工业控制系统安全扩展要求
安全通用要求包括:安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理制度、安全管理机构、安全管理人员、安全建议管理、安全运维管理
一个中心,三重防护:
形成“安全通信网络”、“安全区域边界”、“安全计算环境”和“安全管理中心”支持下的三重防护体系架构。
工作内涵变化
等保2.0工作内涵变化:增加测评活动安全管理、网络服务管理、产品服务采购使用管理、技术维护管理、监测预警和信息通报管理、数据和信息安全保护要求、应急处置要求等内容。进一步明确了网络定级及评审、备案及审核、等级测评、安全建设整改、自查等工作要求。