等级保护2.0标准解读——等保2.0与1.0的区别

等保2.0与1.0的区别

GB17859-1999《计算机信息系统安全保护等级划分准则》的区别

1.0时代

2.0时代

三点：

正式更名为网络安全等级保护标准；

横向拓展了对于云计算、移动互联网、物联网、工业控制系统的安全要求；

纵向扩展了对等级保护测评机构的规范管理

定级要求

• 重新对部分内容的顺序作了调整，从整体显得更加的合理。
• 增加了新的内容跟流程，例如扩展了定级的对象，包括基础信息网络、工业控制系统、云计算平台、物联网、其他信息系统，大数据等，新增加的流程为“定级工作一般流程”，并对旧版本“定级一般流程”更名为“定级方法流程”。

定级要求标准

新增“定级流程”

定级对象

重新对定级对象进行调整，并进行相应的介绍。2。0定级对象分为基础信息网络、信息系统和其他信息系统。其中信息系统再细分为工业控制系统、物联网、大数据、移动互联以及云计算平台。

工业控制系统：

主要是由生产管理层、现场设备层、现场控制层和过程经管层构成，其中生产管理层的定义对象确定原则见（其他信息系统）。设备层、现场控制层和过程监控层应作为一个整体对象定级，各层次要素不单独定级。对于大型的工业控制系统，可以根据系统功能，控制对象和生产厂商等因素划分为多个定级对象。

物联网：

物联网应作为一个整体对象定级，主要包括移动终端、移动应用、无线网络以及相关应用系统等。

采用移动互联技术的信息系统：

采用移动互联技术的等级保护对象应作为一个整体对象定级，主要包括移动终端，移动应用，无线网络以及相关的应用系统等等。

大数据：

应将具有统一安全责任单位的大数据作为一个整体对象定级，或将其与责任主体相同的相关支撑平台统一定级。

云计算平台：

在云计算环境中，应将云服务方侧的云计算平台单独作为定级对象定级，云租户侧的等级保护对象也应作为单独的定级对象定级。对于大型云计算平台，应将云计算基础设施和有关辅助服务系统划分为不同的定级对象。（也就是说云服务方和云租户要进行分开的定级）

基础信息网络

对于电信网、广播电视传输网、互联网等信息等基础信息网络应分别依据服务类型、服务地域和安全责任主体等等因素将其划分为不同的定级对象。跨省全国性业务专网可作为一个整体的对象定级，也可以分区域划分为若干个对象。

其他信息系统

作为定级对象的其他信息系统应具有如下的基本特征：

1、具有确定的主要安全责任单位。作为定义对象的信息系统应能够明确其主要安全责任单位。；

2、承载相对独立的业务应用。作为定级对象的信息系统应承载相对独立的业务应用，完成不同业务目标或者支撑不同单位或不同部门职能的多个信息系统，应划分不同的定级对象。

3、具有信息系统的基本要素。作为定级对象的信息系统应该是由相关的和配套的设备和设施按照一定的应用目标和规则组合而成的多资源集合，单一设备（如服务器、终端、网络设备等）不单独进行定级。

下次分享管理要求的区别（以三级为例）