等保2.0在网络安全等级保护上增加了对云计算、物联网等的关注,强化了访问控制、个人信息保护和外包人员管理。在数据安全建设方面,重点关注用户行为鉴权、数据访问控制、敏感数据脱敏和业务/重要数据加密。需沿着数据的全生命周期,从创建到销毁的六个关键节点,采取相应安全措施,确保数据资产的安全。
网络安全等级保护是国家网络安全保障的基本制度基本策略和基本方法。2019年5月13日等保2.0正式发布,这是继2008年发布等保1.0十余年来继网络安全法实施后的一次重大升级。等保2.0在等保1.0的基础上,更加注重全方位主动防御、安全可信、动态感知和全面审计。
等级保护的对象范围在传统基础上也扩大了对云计算、移动互联网、物联网、工业互联网、大数据等重要基础设施的关注。新时代下国家网络安全面临着哪些新的挑战,等保合规工作又要如何开展?
国家对数据安全、个人信息着重做了铺设和加强。
变化:
国家对访问控制的要求是明显做了颗粒度的细化,强调了主体跟客体以文件和数据库表及作为访问控制的目标对象,在等保1.0里是非常不明确甚至是没有提及的,这是个非常大的进步。
国家加强了对个人信息的保护,提出了未授权概念,不允许在未授权的账户运营的情况下去访问和使用个人的用户数据。
对企业内部的外包人员所使用的企业内部的系统、数据的访问权限,也是有一些保密协议以及技术安全的管理要求,明确提出了外部人员离开现场应该清除所有的访问权限和使用权限。这里边的离场我们可以理解成外包人员以项目的形式进驻企业,当项目截止之后,企业收回原来开放给他的所有的账号,以及所有的应用系统跟数据访问权限。
最低0.47元/天 解锁文章
扫一扫
3136
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
