常见问题 > 信息安全等级保护2.0内容,等保2.0基本要求包含哪些?

信息安全等级保护2.0内容,等保2.0基本要求包含哪些?

作者:小编 发表时间:2024-06-15 10:43

  很多用户都不懂等保1.0到2.0的变化后等保2.0的基本要求具体有什么变化。信息安全等级保护2.0内容都有哪些呢?今天就跟着小编一起了解下。

  信息安全等级保护2.0内容

  “等保2.0”新标准中,每一级都新增了云计算安全、移动互联安全、物联网安全、工业控制系统安全和大数据安全5个扩展要求,以应对新兴技术安全需求。

  法律依据:

  《中华人民共和国刑法》 第二百五十三条 违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金节特别严重的,处三年以上七年以下有期徒刑,并处罚金。

  违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。

  窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。

  单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。

信息安全等级保护2.0内容.png

  等保2.0基本要求包含哪些?

  身份鉴别对企业、安全厂家、系统集成商提出的要求:

  1) 集成商进行业务应用软件设计时,应考虑业务应用系统在“用户名”+“口令”的基础上进一步实现通过密码技术对登录用户的身份进行鉴别,同时应避免业务应用系统的弱口令问题;

  2) 集成商进行业务应用软件设计时,应充分考虑用户权限的控制以及用户在登录失败后的处理机制;

  3) 企业在业务运营期间不可通过不可控的网络环境进行远程管理,容易被监听,造成数据的泄露,甚至篡改;

  4) 安全厂家在进行安全产品选用时,应采用具有两种或以上的组合鉴别方式的安全防护软件对登录系统的管理用户进行身份鉴别。满足本地身份认证和第三方远程身份认证双因子验证要求。

  访问控制对企业、安全厂家、系统集成商提出的要求:

  1) 集成商进行业务应用软件设计时,应充分考虑用户权限的控制以及用户在登录失败后的处理机制,确保业务应用系统不存在访问控制失效的情况;

  2) 企业或集成商在进行系统配置时,应为用户分配账户和权限,删除或重命名默认账户及默认口令,删除过期、多余和共享的账户;

  3) 安全厂家在进行安全产品选用时,应采用符合强制访问控制要求的安全防护软件对主机、系统进行防护,可以有效的降低高风险项的风险等级。

  安全审计对企业、安全厂家、系统集成商提出的要求:

  1) 对集成商而言,业务应用系统软件的安全审计能力至关重要,需要能够对重要用户操作、行为进行日志审计,并且审计的范围不仅仅是针对前端用户,也要针对后端用户;

  2) 对企业来说,在基础建设时应该在重要核心设备、操作系统、数据库性能允许的前提下,开启用户操作类和安全事件的审计策略,并在安全运营的过程中对策略的开启定期检查;

  3) 安全厂家在进行安全审计产品选用时,应采用可以覆盖到每个用户并可对重要的用户行为和重要安全事件进行审计的产品。可利用日志审计系统实现对日志的审计分析并生产报表,通过堡垒机来实现对第三方运维操作的审计。

  以上就是信息安全等级保护2.0内容的相关介绍,等保2.0三级要求包括技术要求和管理要求两个方面。对于需要做等保的小伙伴要赶紧收藏起来。