等保1.0和等保2.0是中国信息安全等级保护标准的不同版本,它们在保护对象、安全要求、控制措施分类结构和内容等方面存在明显的差异。
保护对象的变化
等保1.0主要针对传统的计算机信息系统,而等保2.0的保护对象扩展到了信息系统、基础信息网络、云计算平台、大数据平台、物联网系统、工业控制系统、采用移动互联技术的网络等。
安全要求的变化
等保2.0由一个单独的基本要求演变为通用安全要求+新技术安全扩展要求,其中安全通用要求是不管等级保护对象形态如何都必须满足的要求,针对云计算、移动互联、物联网和工业控制系统提出了特殊要求,称为安全扩展要求。
控制措施分类结构的变化
等保2.0控制措施的分类结构调整,技术部分由物理安全、网络安全、主机安全、应用安全、数据安全变更为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心。管理部分由安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理调整为安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。
内容的变化
等保2.0不仅进一步明确了定级、备案、安全建设、等级测评、监督检查等1.0时代的规定动作,还增加了风险评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处置等内容。
企业实施等保2.0需要满足哪些额外的合规性要求?
等保2.0是中国网络安全等级保护制度的升级版本,它在原有的基础上增加了对新技术、新应用的安全保护要求,并对安全保障体系的建设提出了更高的要求。企业实施等保2.0需要满足以下额外的合规性要求:
-
技术合规要求:等保2.0强调了对可信计算、密码技术、操作系统镜像等保合规的要求,以及对IPv6网络安全合规实践的重视。
-
安全管理中心应用合规:等保2.0要求建立安全管理中心,并对其应用进行合规性要求,包括系统管理、审计管理、安全管理、集中管控等。
-
个人信息保护:等保2.0对二级以上增加了个人信息合规的要求,即“应仅采集和保存业务必需的用户个人信息;应禁止未授权访问和非法使用用户个人信息”。
-
管理制度、机构和人员要求:等保2.0要求企业针对安全活动中的主要内容建立安全管理制度,并就各节点的内容要求建立专项的管理制度,如网络和系统安全管理制度、安全事件报告和处置管理制度。在机构设置上,等保2.0标准要求建立安全管理机构,二级以上的要设立安全管理工作的职能部门,并配置相应的人员。
-
安全监测和预警要求:等保2.0要求企业建立网络安全监测和预警机制,及时发现和应对安全威胁,保障网络安全。
-
数据安全和个人信息保护要求:等保2.0强调了对数据和个人信息的保护,要求企业在安全防护措施中考虑数据完整性、保密性和可用性,以及个人隐私和权益的保护。
-
关键信息基础设施的保护:等保2.0将关键信息基础设施的范围扩大到公共通信和信息服务、能源、交通、金融、公共服务、电子政务等重要行业和领域,加强了对其网络安全的保护要求。
-
调整了安全保护等级和要求:等保2.0将安全保护等级由之前的4级调整为5级,每个等级都有不同的安全要求和防护措施,企业需要根据自身的业务特点和风险评估来确定所属等级并采取相应的安全措施。
企业在实施等保2.0时,需要综合考虑上述要求,并根据自身的实际情况进行相应的安全防护措施的落实和改进,以确保网络安全合规。
27万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
