“等保2.0”新版本變化分析
*本文原創作者:宇宸@默安科技合規研究小組,本文屬於FreeBuf原創獎勵計劃, 未經許可禁止轉載
突然發現等保2.0最新報批稿的結構又進行了較大改動,和之前的送審稿終板存在較大差異,這裡補充說明一下具體變化的情況。
通過和之前的2.0標準對比,細節變化其實不大,主要在控制項的結構變化,以及原先刪除的一些內容又加回來了。我們先看下最新的結構是什麼樣的。
新版“等保2.0”的變化
結構的變化
先看新標準安全通用要求和舊版的變化:
控制大項數量之前是8項,現在又變為了10項,網路安全拆分為安全通訊網路和安全區域邊界兩個部分,主機安全、應用安全和資料及備份合併到安全計算環境中,新增安全管理中心控制項,經過2次改版後,最終是現在的結構。而且各控制大項名稱全部變化,與之前的也不同,技術部分減少,管理部分要求增加。
要求項的變化
新老等保2.0的變化
這其中要求項的細節變化可以對比新舊標準自己看一下,可見通用部分的要求項又減少了,三級減少了19項(230->211),二級減少了12項(147->135)。
個人資訊保護保留 , 剩餘資訊保護又回來了 ,新增 安全管理中心 控制大項(之前是沒有的)。
擴充套件要求的變化
新的版本不再分5個單獨標準釋出,而是整合到一個標準中,用序號標識各擴充套件要求部分,包括:
安全通用要求;
雲端計算安全擴充套件要求;
移動互聯安全擴充套件要求;
物聯網安全擴充套件要求;
工業控制系統安全擴充套件要求。
經過2次改版,可以說擴充套件要求的4個部分又略微簡化了,是這樣一個結構:
擴充套件部分要求較之前的送審稿明顯減少,也就是說新的標準在各個方面都簡化了。
原文中的目錄截圖如下:
等保2.0要求項的變化
由於之前已詳細解釋過,這裡只提一下,相較之前,等保2.0新版的一些明顯要求項變化。
技術要求部分
管理要求部分
再來看管理上,可以說變化比較大的是管理要求,主要在前幾個部分,後邊的建設和運維基本沒變化。
總的來看,變化比較大的是整體結構,其實細節上並沒有太多變化,不過既然這麼來調整,國家肯定有一定的考慮和道理。
結語
本以為最終送審稿就是最終的正式版,沒想到短短几個月改動這麼大,照此來看,年內頒佈實施怕是不好說了,不過大體的方向和細節沒有很大的變化,也不用太過擔心,還是以最終釋出的正式標準為準。
*本文原創作者:宇宸@默安科技合規研究小組,本文屬於FreeBuf原創獎勵計劃, 未經許可禁止轉載