一、背景
?
“等級保護”是在1994年中華人民共和國國務院令147號《中華人民共和國計算機信息系統安全保護條例》中提出的,其中第九條規定“計算機信息系統實行安全等級保護”。1999年發布了國家標準GB 17859-1999《計算機信息系統安全保護等級劃分準則》,此后又相繼發布了一系列信息安全等級保護國家標準,也可稱之為“等保1.0標準”。
?
2007年公安部、國家保密局、國家密碼管理局、國務院信息工作辦公室聯合發布了《信息安全等級保護管理辦法》(公通字[2007]43號),這是“等級保護”實施過程中的重要里程碑。
?
其中,第十二條規定:“在信息系統建設過程中,運營、使用單位應當按照《計算機信息系統安全保護等級劃分準則》、《信息系統安全等級保護基本要求》等技術標準,參照《信息安全技術信息系統通用安全技術要求》、《信息安全技術網絡基礎安全技術要求》、《信息安全技術操作系統安全技術要求》、《信息安全技術數據庫管理系統安全技術要求》、《信息安全技術服務器技術要求》、《信息安全技術終端計算機系統安全等級技術要求》等技術標準同步建設符合該等級要求的信息安全設施。”
?
第十三條規定:“運營、使用單位應當參照《信息安全技術信息系統安全管理要求》、《信息安全技術信息系統安全工程管理要求》、《信息系統安全等級保護基本要求》等管理規范,制定并落實符合本系統安全保護等級要求的安全管理制度。”
?
上文中《信息系統安全管理要求》(GB/T 20269)、《網絡基礎安全技術要求》(GB/T 20270)、《信息系統通用安全技術要求》(GB/T 20271)、《操作系統安全技術要求》(GB/T 20272)、《數據庫管理系統安全技術要求》(GB/T 20273)等五個標準是由江南天安擔任第一起草人單位起草的。
?
當下,為了配合《中華人民共和國網絡安全法》的實施,同時適應移動互聯、云計算、大數據、物聯網和工業控制等新技術、新應用情況下網絡安全等級保護工作的開展,相關單位開始對GB/T 22239-2008《信息安全技術信息系統安全等級保護基本要求》、GB/T 25070-2010《信息安全技術信息系統等級保護安全設計技術要求》、GB/T 28448-2012《信息安全技術信息系統安全等級保護測評要求》等標準進行修訂,并且已經形成標準報批稿,以上可稱之為“等保2.0標準”。
?
二、等保2.0標準的變化
?
以GB/T 22239“基本要求”標準為例,可以看到標準修訂前后的變化:
?
1、標準名稱:由原來的GB/T22239-2008《信息安全技術信息系統安全等級保護基本要求》改為《信息安全技術網絡安全等級保護基本要求》。
?
2、等級保護對象:由原來的信息系統,調整為網絡基礎設施、信息系統、云計算平臺/系統、大數據平臺/系統、物聯網、工業控制系統等。
?
3、安全要求:將原來的安全要求分為安全通用要求和安全擴展要求。其中,安全通用要求是不管等級保護對象形態如何都必須滿足的要求,安全擴展要求是針對云計算、移動互聯、物聯網和工業控制系統提出的特殊要求。
?
4、安全通用要求中的各級技術要求和管理要求的修訂變化如下表所示:
?
?
三、等保2.0標準中的“基本要求”
?
以GB/T 22239“基本要求”標準為例,可以看到針對各個等級保護對象的基本要求的修訂成果。
?
1、安全通用要求中的技術要求項及各級各項要素數量修訂為:
?
?
2、安全通用要求中的管理要求項及各級各項要素數量修訂為:
?
?
3、增加的云計算安全擴展要求項及各級各項要素數量為:
?
?
4、增加的移動互聯安全擴展要求項及各級各項要素數量為:
?
?
5、增加的物聯網安全擴展要求項及各級各項要素數量為:
?
?
6、增加的工業控制系統安全擴展要求項及各級各項要素數量為:
?
?
四、后記
?
一系列“等級保護”國家標準在我國推行信息安全等級保護制度的過程中起到了至關重要的作用,被廣泛應用于各個行業開展信息系統安全等級保護的建設整改、等級測評工作中。等保2.0標準,必將有益于進一步提高我國網絡安全防范能力和水平,維護網絡空間主權和國家安全、社會公共利益,保護公民、法人和其他組織的合法權益,促進經濟社會信息化健康發展。
?