1994-2007 起步與探索
1994年2月18日《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》 (國務(wù)院第147號(hào)令)
2003年9月7日《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》(中辦發(fā)[2003]27號(hào))
2004年9月15日《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見》
2007年6月22日《信息安全等級(jí)保護(hù)管理辦法》(公通字[2007]43 號(hào))
2007年7月16日《關(guān)于開展全國重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知》 (公信安[2007]861號(hào))
2007-2016 標(biāo)準(zhǔn)化與發(fā)展
GB/T 22239—2008 基本要求;22240��、25070�����、28448�����、28449等保國標(biāo)系列標(biāo)準(zhǔn)�����。
2016-2019 行業(yè)深耕落地
2017年6月1日《中華人民共和國網(wǎng)絡(luò)安全法》
2018年6月27日《網(wǎng)絡(luò)安全等級(jí)保護(hù)管理?xiàng)l例(征求意見稿)》
2019之后 等保2.0
2019年5月13日《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》
等保2.0的背景
自1994年第“147號(hào)令”��,我國開始實(shí)施信息系統(tǒng)等級(jí)保護(hù)�����。十幾年來�,在金融�、能源、電信��、醫(yī)療衛(wèi)生等多個(gè)行業(yè)都已深耕落地�,但是隨著云計(jì)算、大數(shù)據(jù)����、物聯(lián)網(wǎng)���、移動(dòng)互聯(lián)以及人工智能等新技術(shù)的發(fā)展,等級(jí)保護(hù)1.0已無法有效的應(yīng)對(duì)新技術(shù)帶來的信息安全風(fēng)險(xiǎn)�����,為了滿足新的技術(shù)挑戰(zhàn)��,有效防范和管理各種信息技術(shù)風(fēng)險(xiǎn)��,提升國家層面的安全水平���,等級(jí)保護(hù)2.0應(yīng)時(shí)而生�。
等保2.0的變化
《中華人民共和國網(wǎng)絡(luò)安全法》第21條規(guī)定“國家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度”,要求“網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度要求�,履行安全保護(hù)義務(wù)”;第31條規(guī)定“對(duì)于國家關(guān)鍵信息基礎(chǔ)設(shè)施�,在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上�����,實(shí)行重點(diǎn)保護(hù)”��。
隨著云計(jì)算�����、移動(dòng)互聯(lián)、大數(shù)據(jù)�����、物聯(lián)網(wǎng)����、人工智能等新技術(shù)不斷涌現(xiàn),計(jì)算機(jī)信息系統(tǒng)的概念已經(jīng)不能涵蓋全部�,特別是互聯(lián)網(wǎng)快速發(fā)展帶來大數(shù)據(jù)價(jià)值的凸顯,等保保護(hù)對(duì)象的外延將不斷拓展�����。
等保2.0構(gòu)建以可信計(jì)算技術(shù)為基礎(chǔ)的等級(jí)保護(hù)核心技術(shù)體系����,強(qiáng)化了可信體系的這一重要思想 。
通用要求包括安全通用要求��,云計(jì)算安全擴(kuò)展要求��,移動(dòng)互聯(lián)安全擴(kuò)展要求,物聯(lián)網(wǎng)安全擴(kuò)展要求�����,工業(yè)控制系統(tǒng)安全擴(kuò)展要求�����。等保2.0通用要求的核心是優(yōu)化��。
(1)云計(jì)算平臺(tái)安全擴(kuò)展要求
責(zé)任主體一分為二���,測評(píng)對(duì)象需要增加�。
等保級(jí)別匹配
云計(jì)算平臺(tái)需要單獨(dú)定級(jí)備案
云計(jì)算平臺(tái)需要通過等級(jí)保護(hù)測評(píng)
同一云計(jì)算平臺(tái)可承載不同級(jí)別的信息系統(tǒng)
云計(jì)算平臺(tái)不能承載高于平臺(tái)級(jí)別的信息系統(tǒng)
(2)大數(shù)據(jù)安全擴(kuò)展要求
應(yīng)將具有統(tǒng)一安全責(zé)任單位的大數(shù)據(jù)作為一個(gè)整體對(duì)象定級(jí)�。
(3)物聯(lián)網(wǎng)安全擴(kuò)展要求
物聯(lián)網(wǎng)應(yīng)作為一個(gè)整體對(duì)象定級(jí),主要包括感知層����、網(wǎng)絡(luò)傳輸層和處理應(yīng)用層要素。
(4)移動(dòng)互聯(lián)網(wǎng)的安全擴(kuò)展要求
移動(dòng)互聯(lián)技術(shù)應(yīng)作為一個(gè)整體對(duì)象定級(jí)�,移動(dòng)終端、移動(dòng)應(yīng)用和無線網(wǎng)絡(luò)等要素不單獨(dú)定級(jí)���,與采用移動(dòng)互聯(lián)技術(shù)等級(jí)保護(hù)對(duì)象的應(yīng)用環(huán)境和應(yīng)用對(duì)象一起定級(jí) 。
(5)工業(yè)控制系統(tǒng)擴(kuò)展要求
工業(yè)控制系統(tǒng)主要由生產(chǎn)管理層、現(xiàn)場設(shè)備層����、現(xiàn)場控制層和過程監(jiān)控層構(gòu)成,其中:生產(chǎn)管理層的定級(jí)對(duì)象確定原則見(其他信息系統(tǒng))��。設(shè)備層�����、現(xiàn)場控制層和過程監(jiān)控層應(yīng)作為一個(gè)整體對(duì)象定級(jí)�����,各層次要素不單獨(dú)定級(jí)�����。對(duì)于大型工業(yè)控制系統(tǒng)����,可以根據(jù)系統(tǒng)功能、控制對(duì)象和生產(chǎn)廠商等因素劃分為多個(gè)定級(jí)對(duì)象��。
文章來源:悟安
0531-67800866