中文
一、等级保护发展历程

1994-2007    起步与探索

  • 1994年2月18日《中华人民共和国计算机信息系统安全保护条例》 (国务院第147号令)
  • 2003年9月7日《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)
  • 2004年9月15日《关于信息安全等级保护工作的实施意见》
  • 2007年6月22日《信息安全等级保护管理办法》(公通字[2007]43 号)
  • 2007年7月16日《关于开展全国重要信息系统安全等级保护定级工作的通知》 (公信安[2007]861号)

2007-2016  标准化与发展

  • GB/T 22239—2008 基本要求;22240、25070、28448、28449等保国标系列标准。

2016-2019    行业深耕落地

  • 2017年6月1日《中华人民共和国网络安全法》
  • 2018年6月27日《网络安全等级保护管理条例(征求意见稿)》

2019之后    等保2.0

  • 2019年5月13日《信息安全技术网络安全等级保护基本要求》
二、等保2.0的背景

自1994年第“147号令”,我国开始实施信息系统等级保护。十几年来,在金融、能源、电信、医疗卫生等多个行业都已深耕落地,但是随着云计算、大数据、物联网、移动互联以及人工智能等新技术的发展,等级保护1.0已无法有效的应对新技术带来的信息安全风险,为了满足新的技术挑战,有效防范和管理各种信息技术风险,提升国家层面的安全水平,等级保护2.0应时而生。

三、等保2.0的变化

1.法律地位得到确认

《中华人民共和国网络安全法》第21条规定“国家实行网络安全等级保护制度”,要求“网络运营者应当按照网络安全等级保护制度要求,履行安全保护义务”;第31条规定“对于国家关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护”。

2.等级保护对象不断拓展

随着云计算、移动互联、大数据、物联网、人工智能等新技术不断涌现,计算机信息系统的概念已经不能涵盖全部,特别是互联网快速发展带来大数据价值的凸显,等保保护对象的外延将不断拓展。

3.强化可信计算

等保2.0构建以可信计算技术为基础的等级保护核心技术体系,强化了可信体系的这一重要思想 。

4.通用要求的变化

通用要求包括安全通用要求,云计算安全扩展要求,移动互联安全扩展要求,物联网安全扩展要求,工业控制系统安全扩展要求。等保2.0通用要求的核心是优化。

新增重点内容

5.扩展要求的变化

(1)云计算平台安全扩展要求

+ 责任主体一分为二,测评对象需要增加。
+ 等保级别匹配
云计算平台需要单独定级备案
云计算平台需要通过等级保护测评
同一云计算平台可承载不同级别的信息系统
云计算平台不能承载高于平台级别的信息系统

云计算应用场景说明

(2)大数据安全扩展要求

应将具有统一安全责任单位的大数据作为一个整体对象定级。

大数据系统构成

(3)物联网安全扩展要求

物联网应作为一个整体对象定级,主要包括感知层、网络传输层和处理应用层要素。

(4)移动互联网的安全扩展要求

移动互联技术应作为一个整体对象定级,移动终端、移动应用和无线网络等要素不单独定级,与采用移动互联技术等级保护对象的应用环境和应用对象一起定级 。

移动互联应用架构

(5)工业控制系统扩展要求

工业控制系统主要由生产管理层、现场设备层、现场控制层和过程监控层构成,其中:生产管理层的定级对象确定原则见(其他信息系统)。设备层、现场控制层和过程监控层应作为一个整体对象定级,各层次要素不单独定级。对于大型工业控制系统,可以根据系统功能、控制对象和生产厂商等因素划分为多个定级对象。

注:该图为工业控制系统经典层次模型参考IEC62264-1,但随着工业4.0,信息物理系统的发展,已不能完全适用,因此对于不同的行业企业实际发展情况,允许部分层级合并。

功能层次模型

时代新威—等级保护和IT审计服务专家版权所有 京ICP备13008575号-2
免费来电

返回
顶部