等保2.0 | 兩分鐘讀懂等保標準新變化_六安市永辰科技有限公司

    2017年10月15-19日，全國信息安全標準化技術委員會2017年第二次會議周在廈門召開，16日上午WG5工作組191個成員單位中121家單位的231位專家參加了工作會議，深信服作為成員單位之一派代表參與會議并積極和專家進行討論。會上公安部三所馬力老師對《信息安全技術網絡安全等級保護基本要求》（ GB/T 22239—XXXX 代替GB/T 22239-2008）送審稿進行了解讀。

   其實早在2017年8月，公安部評估中心就根據網信辦和信安標委的意見將等級保護在編的5個基本要求分冊標準進行了合并形成《網絡安全等級保護基本要求》一個標準。很多人不禁會問，宣傳這么久的等保2.0究竟和原標準有什么不同？下面信服君將為大家一一講解。

01、標準名稱的變化

   等保2.0將原來的標準《信息安全技術信息系統安全等級保護基本要求》改為《信息安全技術網絡安全等級保護基本要求》，與《中華人民共和國網絡安全法》中的相關法律條文保持一致。

02、標準內容的變化

   為了配合《中華人民共和國網絡安全法》的實施，同時適應移動互聯、云計算、大數據、物聯網和工業控制等新技術、新應用情況下網絡安全等級保護工作的開展，新標準針對共性安全保護需求提出安全通用要求，針對移動互聯、云計算、大數據、物聯網和工業控制等新技術、新應用領域的個性安全保護需求提出安全擴展要求，形成新的網絡安全等級保護基本要求標準。調整各個級別的安全要求為安全通用要求、云計算安全擴展要求、移動互聯安全擴展要求、物聯網安全擴展要求和工業控制系統安全擴展要求。

   類似地，除基本要求（GB/T 22239）合并了以上5個部分，設計要求（GB/T 25070）和測評要求（GB/T 28448）也由各自原有的5個分冊分別整合成一冊。

03、控制措施分類結構的變化

等保2.0由舊標準的10個分類調整為8個分類，分別為：
技術部分：物理和環境安全、網絡和通信安全、設備和計算安全、應用和數據安全；
管理部分：安全策略和管理制度、安全管理機構和人員、安全建設管理、安全運維管理。

04、標準控制點和要求項的變化

等保2.0在控制點要求上并沒有明顯增加，通過合并整合后相對舊標準略有縮減。

控制點變化對比表

要求項變化對比表

05、等保2.0技術部分變化簡析
舊標準更偏重于對于防護的要求，而等保2.0標準更適應當前網絡安全形勢的發展，結合《中華人民共和國網絡安全法》中對于持續監測、威脅情報、快速響應類的要求提出了具體的落地措施。下面簡析等保2.0的部分技術措施，僅供參考。

總而言之，等保2.0較之前的舊標準可以說有突破性的進展，尤其在移動互聯、云計算、物聯網等新的業務環境均提供安全建設標準和指導。信服君認為以網絡安全等級保護為基準，是當前構建網絡安全體系架構的重要建設思路，積極落實網絡安全等級保護制度，不僅僅能夠滿足相關法律的合規性要求，更能提升整體網絡的綜合安全防護能力，真正幫助企業用戶保障網絡、數據和業務的安全性！