解读 | 等保2.0实施指南的两大变化

发布时间 2019-09-24

《信息安全技术 网络安全等级保护实施指南》GB/T25058-2019已于2019年8月30日发布,2020年3月1日正式实施,自新版标准发布起将取代《信息安全技术 信息系统安全等级保护实施指南》GB/T 25058-2010,全文总体框架由9个章节和附录A组成。作为唯一全部参与等保2.0三个部分(基本要求、测评要求、安全设计技术要求)起草单位的安全厂商,启明星辰对新版实施指南的发布做了详细地解读。


在等级保护1.0实施指南的基础上,新版实施指南全文对等级保护对象定级与备案阶段、总体安全规划阶段、安全设计与实施阶段、安全运行与维护阶段等4个阶段的内容进行了增加和删减变化。

在定级对象的确定、安全技术体系结构设计、技术措施实现内容的设计、安全控制开发等规划阶段的章节中,增加了云计算、移动互联、大数据等新技术新应用在实施过程中的处理;在安全设计与实施和安全运行与维护阶段增改了风险分析、安全态势感知、安全监测、通报预警、应急处置、追踪溯源、应急响应与保障等安全服务的内容,测试环节则更加侧重安全漏洞扫描、渗透测试的内容。

针对变化,我们从整体变化和阶段变化两个维度做了重点分析:


整体变化


标准名称变化为“信息安全技术 网络安全等级保护实施指南”。全文将“信息系统”调整为“等级保护对象”或“定级对象”,将国家标准“信息系统安全等级保护实施指南”调整为“网络安全等级保护实施指南”。因云计算等新技术新应用在实施过程中的特殊处理,根据需要,相关章条增加云计算、移动互联、大数据等相关内容。


 实施指南整体变化


阶段变化


等级保护2.0实施指南分为对象定级与备案、总体安全规划、安全设计与实施、安全运行与维护、定级对象终止5个阶段。全文对除定级对象终止阶段之外的其他阶段做了增加和删减变化。


1对象定级与备案阶段

本阶段增加了行业/领域主管单位的工作过程,增加了云计算、移动互联、物联网、工控、大数据定级的特殊关注点。



对象定级与备案阶段变化

2总体安全规划阶段

本阶段增加了行业等级保护管理规范和技术标准。设计等级保护对象的安全技术体系架构,提供了安全技术体系架构图,增加了云计算、移动互联网等新技术的安全保护技术措施,设计等级保护对象的安全管理体系框架,设计并提供了安全管理体系框架。



总体安全规划阶段变化

3安全设计与实施阶段

本阶段经过总结主要在顺序、风险、集成、制度等方面进行的变化,体现在“技术措施实现”与“管理措施实现”顺序调换。技术措施实现中增加云计算、移动互联网等新技术的风险分析、技术防护措施实现等要求。在测试环节中,更侧重安全漏洞扫描、渗透测试等安全测试内容。安全控制集成中,增加安全态势感知、监测通报预警、应急处置追踪溯源等安全措施的集成等。



安全设计与实施阶段变化

4安全运行与维护阶段

本阶段的变化增加服务商管理和监控、应急响应与保障的内容,删除了“安全事件处置和应急预案”、“系统备案”的内容、修改了“监督检查”的内容。



安全运行与维护阶段变化

《信息安全技术 网络安全等级保护实施指南》GB/T25058-2019的发布,代表着实施指南进入2.0版本时代。通过增、删、改,新版实施指南不同的规划阶段要求我们关注云计算、移动互联、大数据等新技术、新应用在实施过程中的特殊处理,突出风险分析、态势感知、安全监测、通报预警、应急处置、应急响应与保障,侧重渗透测试与安全漏洞扫描。按照安全等级保护工作实施基本流程,结合基本要求、设计技术要求、测评要求三大标准,提供相应的产品和服务,将等级保护2.0更好的实施落地。


安全等级保护工作实施基本流程