
等保2.0时代的变与不变
网络威胁常态化的今天,等级保护标准体系框架并非一成不变,它将随着信息技术的发展和国际标准的不断完善而进行更新和充实,从而保证标准的实用性。我们知道,去年的8月,公安部评估中心根据网信办和安标委的意见将等级保护在编的5个基本要求分册标准进行了合并形成《网络安全等级保护基本要求》一个标准,等级保护2.0的内涵已大为丰富和完善。例如:基本要求之技术要求就由原来的5项整合成4项,对应的技术要求特点也随之改变。
基本要求之技术要求——5变4
等级保护基本要求技术部分结构由原来的五个层面:物理安全、网络安全、主机安全、应用安全、数据安全,调整为四个部分:物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全;
技术要求的特点:技术要求 “从面到点” 提出安全要求,“物理和环境安全”主要对 机房设施 提出要求,“网络和通信安全”主要对 网络整体 提出要求,“设备和计算安全”主要对 构成节点 提出要求,“应用和数据安全”主要对业务应用和数据提出要求。
接下来小编就以三级系统为例,为大家总结一下等保2.0时期与之前1.0的技术标准部分发生了哪些变化?(标红部分为新标准主要变化)
物理与环境安全VS原来物理安全
控制点未发生变化,要求项数由原来的32项调整为22项。控制点要求项数修改情况如下图:


网络和通信安全VS原来网络安全
新标准减少了结构安全、边界完整性检查、网络设备防护三个控制点,增加了网络架构、通信传输、边界防护、集中管控四个控制点。
原结构安全中部分要求项纳入了网络架构控制点中,原应用安全中通信完整性和保密性的要求项纳入了通信传输控制点中,原边界完整性检查和访问控制中部分要求项内容纳入了边界防护控制点中,原网络设备防护控制点要求并到设备和计算安全要求中。
要求项总数原来为33项,调整后还是33项,但要求项内容有变化。
控制点和控制点要求项数修改情况如下图:

具体要求项的变化如下表

设备和计算安全VS原来主机安全
新标准减少了剩余信息保护一个控制点,在测评对象上,把网络设备、安全设备也纳入了此层面的测评范围。
要求项由原来的32项调整为26项。
控制点和各控制点要求项数修改情况如下图:

具体要求项的变化如下表:

应用和数据安全VS原来应用安全+数据安全及备份恢复
新标准将应用安全、数据安全及备份恢复两个层面合并成了应用和数据安全一个层面,减少了通信完整性、通信保密性和抗抵赖三个控制点,增加了个人信息保护控制点。通信完整性和通信保密性的要求纳入了网络和通信安全层面的通信传输控制点。
要求项由原来的39项调整为33项。
控制点和控制点要求项数修改情况如下图:

具体要求项的变化如下表:

等保从1.0到2.0的跨越,信息安全企业的工作属性上升到了新的高度,对相关从业人员的要求也变得更高,不仅要深入了解网络安全法的要求,更要掌握等保2.0的相关标准,只有具备职业技能和专业素养的人才,才能经得起网络威胁的锤炼,才能夯实网络安全保障的能力,为全面推动等保2.0的落地、捍卫国家网络安全提供有力支撑。
北京益安在线
公安部信息安全等级保护评估中心合作单位
CIIPT重要信息系统安全保护人员培训
北京地区指定授权合作伙伴
作为国家信息安全建设的一员,益安在线长期关注、积极响应国家政策法规,在国家等级保护制度的发展与落实过程中,为政府单位和大中型安全企业的等保人才培训、人才储备方面发挥着积极的作用。益安在线CIIPT-A培训,采用线上方式(随时随地、学习时间自由,合理利用碎片时间,不影响正常工作),课程全部由信息安全专家授课,专业性是业界权威,知识点也是面面俱到。考试通过后取得公安部颁发的CIIPT-A证书,目前,益安在线已逐渐为安全行业输送越来越多的等保人才,在落实、推动等级保护方面持续发力!
本文转自e安在线,原文链接:http://mp.weixin.qq.com/s/uG34hPEpkhC6cqTqTUDFfg