等保2.0涉及什么内容
最新回答
酒尽
2022-02-04 12:15:44
等保2.0涉及的内容主要包括标准体系与核心变化、技术合规要求、等级保护对象、等级划分与定级依据、实施流程五个方面,具体如下:
标准体系与核心变化等保2.0以GB/T 22239-2019为核心标准,构建了“一个中心、三重防护”的技术框架,即通过安全管理中心统筹计算环境、区域边界、通信网络三重防护。其架构采用“通用要求+扩展要求”的灵活模式,覆盖云计算、物联网、工业控制系统等新兴技术场景。2025年新增的《网络安全等级测评报告模版(2025版)》通过“两细化(测评指标、风险分析)、三变更(测评方法、结果判定、报告结构)、五新增(数据安全、供应链安全等)”调整,强化了风险识别精准度。
技术合规要求- 安全通用要求:涵盖10大类135项控制点,包括安全物理环境(如机房需部署电子门禁、7×24小时视频监控)、安全通信网络(传输加密采用TLS 1.3协议,使用国密SM4算法)、安全计算环境(身份鉴别采用双因素认证)等。
- 扩展要求:针对云计算安全、移动互联安全、物联网安全、工控安全、大数据安全等新兴技术场景提出专项要求。
覆盖基础信息网络、信息系统、云计算平台/系统、大数据应用/平台/资源、物联网(IoT)、工业控制系统及采用移动互联技术的系统等,明确将数据资源、新型基础设施纳入保护范围。
等级划分与定级依据- 等级划分:根据系统重要程度和被破坏后的危害程度,划分为五个等级(等保一级至五级),实际项目多为二、三、四级。
- 定级依据:采用“业务信息安全+系统服务安全”双维度评估,2025年新增“地区安全、国计民生”侵害客体,明确重要数据系统至少定为三级,核心数据系统至少定为四级。
等保2.0官方规定五个步骤:系统定级(明确保护等级)、备案(提交定级报告)、建设整改(落实安全措施)、等级评测(第三方机构检测)、监督检查(监管部门持续监管),形成全生命周期管理闭环。
热门标签
