一、背景
“等级保护”是在1994年中华人民共和国国务院令147号《中华人民共和国计算机信息系统安全保护条例》中提出的,其中第九条规定“计算机信息系统实行安全等级保护”。1999年发布了国家标准GB 17859-1999《计算机信息系统安全保护等级划分准则》,此后又相继发布了一系列信息安全等级保护国家标准,也可称之为“等保1.0标准”。
2007年公安部、国家保密局、国家密码管理局、国务院信息工作办公室联合发布了《信息安全等级保护管理办法》(公通字[2007]43号),这是“等级保护”实施过程中的重要里程碑。
其中,第十二条规定:“在信息系统建设过程中,运营、使用单位应当按照《计算机信息系统安全保护等级划分准则》、《信息系统安全等级保护基本要求》等技术标准,参照《信息安全技术信息系统通用安全技术要求》、《信息安全技术网络基础安全技术要求》、《信息安全技术操作系统安全技术要求》、《信息安全技术数据库管理系统安全技术要求》、《信息安全技术服务器技术要求》、《信息安全技术终端计算机系统安全等级技术要求》等技术标准同步建设符合该等级要求的信息安全设施。”
第十三条规定:“运营、使用单位应当参照《信息安全技术信息系统安全管理要求》、《信息安全技术信息系统安全工程管理要求》、《信息系统安全等级保护基本要求》等管理规范,制定并落实符合本系统安全保护等级要求的安全管理制度。”
上文中《信息系统安全管理要求》(GB/T 20269)、《网络基础安全技术要求》(GB/T 20270)、《信息系统通用安全技术要求》(GB/T 20271)、《操作系统安全技术要求》(GB/T 20272)、《数据库管理系统安全技术要求》(GB/T 20273)等五个标准是由江南天安担任第一起草人单位起草的。
当下,为了配合《中华人民共和国网络安全法》的实施,同时适应移动互联、云计算、大数据、物联网和工业控制等新技术、新应用情况下网络安全等级保护工作的开展,相关单位开始对GB/T 22239-2008《信息安全技术信息系统安全等级保护基本要求》、GB/T 25070-2010《信息安全技术信息系统等级保护安全设计技术要求》、GB/T 28448-2012《信息安全技术信息系统安全等级保护测评要求》等标准进行修订,并且已经形成标准报批稿,以上可称之为“等保2.0标准”。
二、等保2.0标准的变化
以GB/T 22239“基本要求”标准为例,可以看到标准修订前后的变化:
1、标准名称:由原来的GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》改为《信息安全技术网络安全等级保护基本要求》。
2、等级保护对象:由原来的信息系统,调整为网络基础设施、信息系统、云计算平台/系统、大数据平台/系统、物联网、工业控制系统等。
3、安全要求:将原来的安全要求分为安全通用要求和安全扩展要求。其中,安全通用要求是不管等级保护对象形态如何都必须满足的要求,安全扩展要求是针对云计算、移动互联、物联网和工业控制系统提出的特殊要求。
4、安全通用要求中的各级技术要求和管理要求的修订变化如下表所示:
三、等保2.0标准中的“基本要求”
以GB/T 22239“基本要求”标准为例,可以看到针对各个等级保护对象的基本要求的修订成果。
1、安全通用要求中的技术要求项及各级各项要素数量修订为:
2、安全通用要求中的管理要求项及各级各项要素数量修订为:
3、增加的云计算安全扩展要求项及各级各项要素数量为:
4、增加的移动互联安全扩展要求项及各级各项要素数量为:
5、增加的物联网安全扩展要求项及各级各项要素数量为:
6、增加的工业控制系统安全扩展要求项及各级各项要素数量为:
四、后记
一系列“等级保护”国家标准在我国推行信息安全等级保护制度的过程中起到了至关重要的作用,被广泛应用于各个行业开展信息系统安全等级保护的建设整改、等级测评工作中。等保2.0标准,必将有益于进一步提高我国网络安全防范能力和水平,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展。