最近等保圈儿最热的事儿恐怕就是网络安全等级保护标准(以下简称等保)2.0的发布了。经过千锤百炼等保2.0的几个主要标准“基本要求”、“设计要求”和“测评要求”的修订版本终于正式发布了。这是我国实行网络安全等级保护制度过程中的一件大事,具有里程碑意义。
作为GB/T 25070—2019起草单位和起草人之一、牵头承担多项信息安全国家标准起草任务、已经在等保前线上战斗过了14年的江南天安,今天在《TASS学院》中为大家讲讲等保2.0最大的变化在哪里。
《基本要求》的变化
GB/T22239—2019《信息安全技术 网络安全等级保护基本要求》代替GB/T 22239—2008 《信息安全技术 信息系统安全等级保护基本要求》,主要变化包括:
1.标准名称的变更;
2.调整分类为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理;
3.调整各个级别的安全要求为安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求和工业控制系统安全扩展要求;
4.取消了原来安全控制点的S、A、G标注,增加一个附录A描述等级保护对象的定级结果和安全要求之间的关系,说明如何根据定级结果选择安全要求;
5.调整了原来附录A和附录B的顺序,增加了附录C描述网络安全等级保护总体框架,并提出关键技术使用要求。
《安全设计要求》的变化
GB/T25070—2019《信息安全技术 网络安全等级保护安全设计技术要求》代替GB/T 25070—2010 《信息安全技术 信息系统等级保护安全设计技术要求》,主要变化包括:
1.标准名称的变更;
2.各个级别的安全计算环境设计技术要求调整为通用安全计算环境设计技术要求、云安全计算环境设计技术要求、移动互联安全计算环境设计技术要求、物联网系统安全计算环境设计技术要求和工业控制系统安全计算环境设计技术要求;
3.各个级别的安全区域边界设计技术要求调整为通用安全区域边界设计技术要求、云安全区域边界设计技术要求、移动互联安全区域边界设计技术要求、物联网系统安全区域边界设计技术要求和工业控制系统安全区域边界设计技术要求;
4.各个级别的安全通信网络设计技术要求调整为通用安全通信网络设计技术要求、云安全通信网络设计技术要求、移动互联安全通信网络设计技术要求、物联网系统安全通信网络设计技术要求和工业控制系统安全通信网络设计技术要求;
5.删除了附录B.2 子系统间接口、B.3 重要数据结构,增加了附录B.1.3第三级系统可信验证实现机制。
《测评要求》的变化
GB/T28448—2019 《信息安全技术 网络安全等级保护测评要求》代替GB/T 28448—2012《信息安全技术 信息系统安全等级保护测评要求》,主要变化包括:
1.标准名称的变更;
2.每个级别增加了云计算安全测评扩展要求、移动互联安全测评扩展要求、物联网安全测评扩展要求和工业控制系统安全测评扩展要求等内容;
3.增加了等级测评、测评对象、云服务商和云服务客户等相关术语和定义(见第3章,2012年版的第3章);
4.将针对控制点的单元测评细化调整为针对要求项的单项测评,删除了“测评框架”(见2012年版的4.1)和“等级测评内容”(见2012年版的4.2)等内容;
5.增加了大数据可参考安全评估方法(见附录B)和测评单元编号说明(见附录C)。
通过对这些等保标准的宣贯和执行,将会建立更为完善的网络安全等级保护体系,保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展。
