(本文原创,源自微信公众号:世平信息,转载请注明来源“杭州世平信息科技有限公司”)
在移动互联、云计算、物联网等新的业务环境下,对企业的网络安全保护提出更高的要求。《信息安全技术 网络安全等级保护基本要求》(等保2.0)发布后,较旧标准有哪些变化?企业应该如何应对?
解读等保2.0
《网络安全法》对网络安全等级保护的开展做了明确的要求,实现了网络安全等级保护领域依法治理有法可依,因此开展网络安全等级保护建设意义重大。
1.找差异
- 名称之变,两字之差,依法命名,地位不同,旧标准为信息安全等级保护,等保2.0定义为网络安全等级保护,也就是《网络安全法》里面说的网络安全等级保护;
- 五标合一,内容紧凑,效率更高,将等级保护之前在编的5个基本要求分册标准(安全通用要求、 云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求、工业控制系统安全扩展及大数据安全扩展要求)进行了合并形成《网络安全等级保护基本要求》一个标准;
- 措施整合,合理分类,有效落地,控制措施分类由原先的10个分类调整为8个分类,分别为技术部分(物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全)、管理部分(安全策略和管理制度、安全管理机构和人员、安全建设管量、安全运维管理);
具体分类对接如下图所示:
- 条款减少,粒度更细,操作更强,新标准里面2级和3级对应的要求项总数分别为145项和231项,相对以前变少了。
2.划重点
- 应用和数据安全创新,个人信息保护进入全新的时代,《网络安全法》及等保2.0都对个人信息保护列了明确的条款及说明,尤其是等保2.0中,对数据安全中个人信息保护做了扩展及说明,对数据过度采集、未授权访问等作出了明确要求,这个与《信息安全技术 个人信息安全规范》(GB/T 35273-2017 )遥相呼应,相辅相成。也就是说后面对于个人信息保护这个领域,一定是网络安全等级保护的重点关注对象,也是相关机构重点查处及管理的方向。
- 入侵防范不止针对外部,更应该关注内部安全,等保2.0网络安全入侵防范明确要求:应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为。内部发起的攻击主要关注数据,特别是一些敏感数据,容易导致信息泄漏。
- 网络安全审计更加关注数据分析,网络安全审计中新增加了一条:应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。
3.需总结
往期新闻精彩链接
杭州世平信息科技有限公司
世平信息专注于智能化数据管理,基于内容的识别、检查和审计,从针对数据本身的防护需求角度出发,为各行业用户提供业务数据的梳理、分析、价值分享和安全管理方案。凭借近年来在数据库保密检查、数据泄漏防护、敏感信息风险评估和数据脱敏领域的创新与突破,世平信息获得了来自各个行业领域和机构的认可。
