2008年发布的《GB/T22239-2008 信息安全技术 信息系统安全等级保护基本要求 》简称为等保1.0。
近年来随着人工智能、大数据、物联网、云计算等的快速发展,安全趋势和形势的急速变化,原来发布的标准已经不再适用于当前安全要求,从2015年开始,等级保护的安全要求逐步开始制定2.0标准,包括5个部分:安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求、工业控制安全扩展要求。
2017年8月,公安部评估中心根据网信办和安标委的意见将等级保护在编的5个基本要求分册标准进行了合并形成《网络安全等级保护基本要求》一个标准。
整体上包含:网络安全等级保护基本要求,网络安全等级保护定级指南,网络安全等级保护实施指南,网络安全等级保护安全设计技术要求,网络安全等级保护测评要求,如下图所示。
目前该标准目前还需国标委进一步审核批准实施。
旧标准更偏重于对于防护的要求,而等保2.0标准更适应当前网络安全形势的发展,结合《中华人民共和国网络安全法》中对于持续监测、威胁情报、快速响应类的要求提出了具体的落地措施。
我们总说等级保护有五个规定动作,即定级、备案、建设整改、等级测评和监督检查,2.0时代,等保的内涵已大为丰富和完善。风险评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处置、自主可控、供应链安全、效果评价、综治考核等这些与网络安全密切相关的措施都将全部纳入等级保护制度并加以实施。
举个例子来说,比如网络和通信安全的安全控制点:入侵防范,要求采用技术措施对网络行为进行分析,实现对网络攻击特别是未知的新型网络攻击的检测和分析,比如之前提到的安全企业青藤云安全自适应就是满足此类要求。
标准名称的变化
《信息安全技术 信息系统安全等级保护基本要求》改为《信息安全技术 网络安全等级保护基本要求》与《中华人民共和国网络安全法》中的相关法律条文保持一致。
标准内容的变化
基本要求(GB/T 22239)合并了以上5个部分,设计要求(GB/T 25070)和测评要求(GB/T 28448)也由各自原有的5个分册分别整合成一册。
控制措施分类结构的变化
等保2.0由旧标准的10个分类调整为8个分类,分别为:
分别为:
技术部分:物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全;
管理部分:安全策略和管理制度、安全管理机构和人员、安全建设管理、安全运维管理。
标准控制点和要求项的变化
等保2.0在控制点要求上并没有明显增加,通过合并整合后相对旧标准略有缩减。