2007年和2008年頒布實施的《信息安全等級保護管理辦法》和《信息安全等級保護基本要求》。這部法規被稱為等保1.0。經過10余年的實踐,等保1.0為保障我國信息安全打下了堅實的基礎。
等保2.0
等保2.0相關國家標準於2019年5月10日正式發布。2019年12月1日開始實施。這是我國實行網絡安全等級保護制度過程中的壹件大事,具有裏程碑意義。
等保2.0與等保1.0的區別
等保1.0主要強調物理主機、應用、數據、傳輸,而2.0版本增加了對雲計算、移動互聯、物聯網、工業控制和大數據等新技術新應用的全覆蓋。
相較於等保1.0,等保2.0發生了以下主要變化:
1、名稱變化。等保2.0將原來的標準《信息安全技術信息系統安全等級保護基本要求》改為《信息安全技術網絡安全等級保護基本要求》,與《網絡安全法》保持壹致。
2、定級對象變化。等保1.0的定級對象是信息系統,現在2.0更為廣泛,包含:信息系統、基礎信息網絡、雲計算平臺、大數據平臺、物聯網系統、工業控制系統、采用移動互聯技術的網絡等。
3、安全要求變化。等保2.0由壹個單獨的基本要求演變為通用安全要求+新技術安全擴展要求,其中安全通用要求是不管等級保護對象形態如何都必須滿足的要求,針對雲計算、移動互聯、物聯網和工業控制系統提出了特殊要求,稱為安全擴展要求。
4、控制措施分類結構變化。等保2.0依舊保留技術和管理兩個維度。
在技術上,由物理安全、網絡安全、主機安全、應用安全、數據安全,變更為安全物理環境、安全通信網絡、安全區域邊界、安全計算環境、安全管理中心。
在管理上,結構上沒有太大的變化,從安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理,調整為安全管理制度、安全管理機構、安全管理人員、安全建設管理、安全運維管理。
5、內容變化。從等保1.0的定級、備案、建設整改、等級測評和監督檢查五個規定動作,變更為五個規定動作+新的安全要求,增加了風險評估、安全監測、通報預警、案事件調查、數據防護、災難備份、應急處置等。