5月13日,国家市场监督管理总局、中国国家标准化管理委员会召开国家标准新闻发布会,正式发布了《信息安全技术 网络安全等级保护基本要求》,并于2019年12月1日开始正式实施,这标志着等级保护工作正式步入新的阶段——等保2.0时代。
随着云计算、物联网、大数据、人工智能等新兴技术的不断发展,如今的网络环境已不同于之前的基础信息网络,而是一种人、物、云三者大互联的全新网络架构,新的网络架构也带了未知的安全挑战。因此为了适用于新型网络架构的安全保护要求,《信息安全技术 信息系统安全等级保护基本要求》(等保1.0)改名为《信息安全技术 网络安全等级保护基本要求》(等保2.0),同时将基础信息网络、传统信息系统、云计算平台、大数据平台、移动互联、物联网和工业控制系统等作为等级保护对象,并在原有通用安全要求的基础上新增了安全扩展要求。采用新技术的信息系统除需满足安全通用要求外,还需满足相应的扩展要求。
同时,等保2.0还在1.0的基础上,还新增了风险评估、安全检测、态势感知等安全要求,这就要求安全服务供应商能对未知的安全威胁进行提前检测,从而进一步可实现提前防御,化被动为主动,提供更加完备的安全防护能力。
图:等级保护对象变化
除等级保护对象的变化,相比于等保1.0,等保2.0从结构、要求项数量和定级流程等方面都有所不同: