6月底,由公安部牵头,会同中央网信办、国家保密局、国家密码管理局联合制定的《网络安全等级保护条例》在网上发布后,引起了行业的广泛关注,大家关于等保1.0(《信息安全等级保护基本要求》)与等保2.0的(《网络安全等级保护条例》)的讨论也非常多。
根据湖南金盾信息安全等级保护评估中心最近发布的《等保2.0与等保1.0基本要求技术控制点详细对比》的内容——从原来的五个层面:物理安全、网络安全、主机安全、应用安全、数据安全,调整为四个层面:物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全的详细段落中,我们摘录与灾备比较密切的“物理和环境安全、应用和数据安全”的两个段落,小编在不改变原文意思的情况下做了排版的设计调整,以下表格为摘录内容(标黄部分为新标准主要变化)。
1、物理与环境安全VS原来物理安全
控制点未发生变化,要求项数由原来的32项调整为22项。控制点要求项数修改情况如下表:
原控制点 |
要求项数 |
新控制点 |
要求项数 |
||
物理安全 |
1 物理位置的选择 |
2 |
物理和环境安全 |
1 物理位置的选择 |
2 |
2 物理访问控制 |
4 |
2 物理访问控制 |
1 |
||
3 防盗窃和防破坏 |
6 |
3 防盗窃和防破坏 |
3 |
||
4 防雷击 |
3 |
4 防雷击 |
2 |
||
5 防火 |
3 |
5 防火 |
3 |
||
6 防水和防潮 |
4 |
6 防水和防潮 |
3 |
||
7 防静电 |
2 |
7 防静电 |
2 |
||
8 温湿度控制 |
1 |
8 温湿度控制 |
1 |
||
9 电力供应 |
4 |
9 电力供应 |
3 |
||
10 电磁防护 |
3 |
10 电磁防护 |
2 |
要求项的变化如下图(横看):
2、应用和数据安全VS原来应用安全+数据安全及备份恢复
新标准将应用安全、数据安全及备份恢复两个层面合并成了应用和数据安全一个层面,减少了通信完整性、通信保密性和抗抵赖三个控制点,增加了个人信息保护控制点。通信完整性和通信保密性的要求纳入了网络和通信安全层面的通信传输控制点。
要求项由原来的39项调整为33项,控制点和控制点要求项数修改情况如下图:
原控制点 |
要求项数 |
新控制点 |
要求项数 |
||
应用安全 |
1 身份鉴别 |
5 |
应用和数据安全 |
1 身份鉴别 |
5 |
2 访问控制 |
6 |
2 访问控制 |
7 |
||
3 安全审计 |
4 |
3 安全审计 |
5 |
||
4 剩余信息保护 |
2 |
4 软件容错 |
3 |
||
5 通信完整性 |
1 |
5 资源控制 |
2 |
||
6 通信保密性 |
2 |
6 数据完整性 |
2 |
||
7 抗抵赖 |
2 |
7 数据保密性 |
2 |
||
8 软件容错 |
2 |
8 数据备份和恢复 |
3 |
||
9 资源控制 |
7 |
9 剩余信息保护 |
2 |
||
数据安全及备份恢复 |
9 数据完整性 |
2 |
10 个人信息保护 |
2 |
|
10 数据保密性 |
2 |
||||
11 备份和恢复 |
4 |
具体要求项的变化如下表(横看):