等保2.0與1.0的區別
GB17859-1999《計算機信息系統安全保護等級劃分準則》的區別
1.0時代
2.0時代
三點:
正式更名為網絡安全等級保護標準;
橫向拓展了對於雲計算、移動網際網路、物聯網、工業控制系統的安全要求;
縱向擴展了對等級保護測評機構的規範管理
定級要求:
重新對部分內容的順序作了調整,從整體顯得更加的合理。
增加了新的內容跟流程,例如擴展了定級的對象,包括基礎信息網絡、工業控制系統、雲計算平臺、物聯網、其他信息系統,大數據等,新增加的流程為「定級工作一般流程」,並對舊版本「定級一般流程」更名為「定級方法流程」。
定級要求標準
新增「定級流程」
定級對象:
重新對定級對象進行調整,並進行相應的介紹。2。0定級對象分為基礎信息網絡、信息系統和其他信息系統。其中信息系統再細分為工業控制系統、物聯網、大數據、移動互聯以及雲計算平臺。
工業控制系統:
主要是由生產管理層、現場設備層、現場控制層和過程經管層構成,其中生產管理層的定義對象確定原則見(其他信息系統)。設備層、現場控制層和過程監控層應作為一個整體對象定級,各層次要素不單獨定級。對於大型的工業控制系統,可以根據系統功能,控制對象和生產廠商等因素劃分為多個定級對象。
物聯網:
物聯網應作為一個整體對象定級,主要包括移動終端、移動應用、無線網絡以及相關應用系統等。
採用移動互聯技術的信息系統:
採用移動互聯技術的等級保護對象應作為一個整體對象定級,主要包括移動終端,移動應用,無線網絡以及相關的應用系統等等。
大數據:
應將具有統一安全責任單位的大數據作為一個整體對象定級,或將其與責任主體相同的相關支撐平臺統一定級。
雲計算平臺:
在雲計算環境中,應將雲服務方側的雲計算平臺單獨作為定級對象定級,雲租戶側的等級保護對象也應作為單獨的定級對象定級。對於大型雲計算平臺,應將雲計算基礎設施和有關輔助服務系統劃分為不同的定級對象。(也就是說雲服務方和雲租戶要進行分開的定級)
基礎信息網絡:
對於電信網、廣播電視傳輸網、網際網路等信息等基礎信息網絡應分別依據服務類型、服務地域和安全責任主體等等因素將其劃分為不同的定級對象。跨省全國性業務專網可作為一個整體的對象定級,也可以分區域劃分為若干個對象。
其他信息系統
作為定級對象的其他信息系統應具有如下的基本特徵:
1、具有確定的主要安全責任單位。作為定義對象的信息系統應能夠明確其主要安全責任單位。;
2、承載相對獨立的業務應用。作為定級對象的信息系統應承載相對獨立的業務應用,完成不同業務目標或者支撐不同單位或不同部門職能的多個信息系統,應劃分不同的定級對象。
3、具有信息系統的基本要素。作為定級對象的信息系統應該是由相關的和配套的設備和設施按照一定的應用目標和規則組合而成的多資源集合,單一設備(如伺服器、終端、網絡設備等)不單獨進行定級。
下次分享管理要求的區別(以三級為例)
作者:安全牛課堂