等级保护1.0和2.0的区别,等级保护三级要求
实行网络安全等级保护制度过程中的一件大事,具有里程碑意义。等级保护1.0和2.0的区别是什么呢?2.0将会更加注重全方位主动防御、动态防御、整体防控和精准防护。
等级保护1.0和2.0的区别
名称变化:等保的标准名称由以前《信息系统安全等级保护基本要求》改为:《网络安全等级保护基本要求》,与《网络安全法》保持一致。
包含对象的变化:等保1.0主要针对体制内的单位,参加测评的大部分都是一些计算机信息系统,到了等保2.0保护对象开始向全社会扩展,更甚至向云、移动互联网、物联网、工业互联网、大数据上扩展,不在是以前单纯的计算机信息系统。现在的等保覆盖范围更广,更加严格。
安全要求的变化:等保1.0只是要求信息系统安全等级保护基本要求,而等保2.0由一个单独的基本要求演变为通用安全加新技术安全扩展要求两大要求,其中安全通用要求是不管等级保护对象形态如何都必须满足的要求,针对云计算、移动互联、物联网和工业控制系统提出了特殊要求,称为安全扩展要求。
控制措施分类结构变化:等保2.0控制措施的分类结构调整,充分体现“一个中心、三重防护”的思想。其中技术部分调整为:安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心。管理部分调整为:安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。
工作内涵变化:等保2.0不仅进一步明确定级、备案、安全建设、等级测评、监督检查等1.0时代的规定动作,最主要的是把安全检测、通报预警、案事件调查等措施都将全部纳入等级保护制度并加以实施。
等级保护三级要求
1. 网络安全
国家信息安全等级保护三级要求企业建立健全网络安全保障体系,包括加强网络访问控制、实施数据加密传输、建立数据备份和恢复机制、加强网络设备防护等。同时,对重要的网络信息系统要进行安全评估和测试。
2. 数据安全
企业需要建立健全的数据安全保障体系,包括数据备份和恢复、加密存储、数据传输加密等措施。同时,对于重要的数据要进行分类存储、访问控制等措施,确保数据安全。
3. 信息系统安全
企业需要建立健全的信息系统安全体系,包括加强系统访问控制、完善安全审计机制、加强系统漏洞管理、对系统进行风险评估和测试等措施。
4. 应用系统安全
企业需要建立健全的应用系统安全体系,包括加强应用系统访问控制、加强应用系统漏洞管理、加强应用系统数据安全等措施。同时,对于重要的应用系统要进行安全评估和测试。
5. 人员安全
企业需要建立健全的人员安全保障体系,包括实施安全培训、加强人员管理、加强人员身份认证等措施,确保人员安全。
6. 物理安全
企业需要建立健全的物理安全保障体系,包括加强物理访问控制、加强设备安全防护、加强设备风险评估等措施。
7. 管理制度
企业需要建立健全的管理制度,包括制定信息安全管理制度、加强安全意识教育、制定安全事件应急预案、加强安全审计等措施,确保信息安全。
以上就是关于等级保护1.0和2.0的区别的介绍,等级保护制度2.0在1.0的基础上有了更大的升级,要求上也是更加严格。在互联网时代网络安全不容小觑,做好等保是保障网络安全的重要措施。