等级保护2.0相较1.0的本质区别在于从1.0的传统IT安全扩展到2.0的通用安全、云计算安全、大数据安全、物联网安全等新兴技术领域安全,强调动态防护与全生命周期管理。
等级保护1.0 -> 等级保护2.0的关键发展过程
第一阶段:1994 - 2007年 等级保护 发起阶段
1994年《国务院147号令》:第一次提出计算机信息系统实行安全等级保护
1999年《GB/T 17859-1999 计算机信息系统安全保护等级划分准则》
2003年《国家信息化领导小组关于加强信息安全保障工作的意见》
第二阶段:2007 - 2012年 等级保护 标准化阶段
2007年《信息安全等级保护管理办法-公通字-2007-43号文》
2008年 《GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求》
2008年 《GB/T 22240-2008 信息安全技术 信息系统安全等级保护实施指南》
2010年 《GB/T 25070-2010 信息安全技术 信息系统安全等级保护定级指南》
2012年 《GB/T 28448-2012 信息安全技术 信息系统安全等级保护测评要求》
2012年 《GB/T 28449-2012 信息安全技术 信息系统安全等级保护测评实施指南》
第三阶段:2008 - 2016年 等级保护 行业落地阶段
税务行业:
2012年《GB/T 28447-2012 信息系统安全等级保护 税务行业要求》
2012年《GB/T 28448-2012 信息系统安全等级保护 税务行业定级指南》
金融行业:
2013年《GB/T 28450-2013 信息系统安全等级保护 金融行业要求》
2013年《GB/T 28451-2013 信息系统安全等级保护 金融行业定级指南》
教育行业:
2013年《GB/T 28452-2013 信息系统安全等级保护 教育行业要求》
2013年《GB/T 28453-2013 信息系统安全等级保护 教育行业定级指南》
广电行业:
2014年《GB/T 28454-2014 信息系统安全等级保护 广电行业要求》
2014年《GB/T 28455-2014 信息系统安全等级保护 广电行业顶级指南》
第四阶段:2017 - 2024年 等级保护 合规成熟阶段
2017年《中华人民共和国网络安全法》
2019年《GB/T 22239-2019 信息安全技术 信息系统安全等级保护基本要求》
增加 安全通用要求、云计算安全扩展要求、移动互联网安全扩展要求、物联网安全扩展要求、工业控制系统安全扩展要求、大数据安全可参考扩展要求。
2019年《GB/T 28448-2019 信息安全技术 信息系统安全等级保护测评要求》
增加 安全通用要求、云计算安全扩展要求、移动互联网安全扩展要求、物联网安全扩展要求、工业控制系统安全扩展要求、大数据安全可参考扩展要求。
等级保护从1.0到2.0经历了从初期的安全保护发起、标准化制定、行业落地到最终的合规成熟阶段。随着安全技术发展不断扩展安全保护范围,并逐步加强对新兴技术如云计算、物联网、大数据等的安全要求。