다음은 평등보호 2.0 의 세 가지 핵심 새 기준에 대한 소개입니다.
1, GB/T 22239-20 19 정보 보안 기술 네트워크 보안 수준 보호를 위한 기본 요구 사항
이 표준은 등급 보호 표준 시스템의 핵심이며, 2008 년 표준에 제시된 기본 요구 사항을 수정하고 개선하여 일반적인 보안 요구 사항을 형성합니다. 클라우드 컴퓨팅, 대용량 데이터, 모바일 인터넷, 사물인터넷, 산업 통제 등 신기술, 새로운 응용 분야는 안전한 확장에 필수적이다.
2.GB/T25070-20 19 정보 보안 기술 네트워크 수준 보호 보안 설계 기술 요구 사항
이 표준은 주로 * * * 성 보안 목표에 대한 일반적인 안전 설계 기술 요구 사항을 제시합니다. 이 표준은 운영 단위, 네트워크 보안 기업 및 네트워크 보안 서비스 기관이 네트워크 보안 수준 보호 보안 기술 시나리오를 설계 및 구현하도록 지시하는 데 적용되며 네트워크 보안 기능 부서의 감독, 검사 및 지침의 근거가 될 수 있습니다.
3.GB/T28448-20 19 "정보 보안 기술 네트워크 보안 수준 보호 평가 요구 사항"
이 기준은 등급 보호의 기본 요구 사항을 충족하며, 주로 평가 대상과 평가 결정 규칙을 정의합니다. 이 표준은 보안 평가 서비스 기관, 등급 보호 대상 주관 부서 및 운영 단위 평가 등급 보호 대상 보안 상태에 대한 지침을 제공합니다. 정보 보안 감독 부서는 네트워크 보안 수준 보호 감독 검사를 수행할 때 참고한다.
또한 수준 보호는 동등한 보호 1.0 에서 동등한 보호 2.0 으로의 주요 변경 사항은 다음과 같습니다.
1, 의미의 변화
정보 보안 수준 보호에서 네트워크 보안 수준 보호에 이르기까지 네트워크 공간의 보안을 강조합니다. 네트워크 보안법 제 2 1 조 및 제 3 1 조는 네트워크 운영자와 주요 정보 인프라 운영자가 네트워크 보안 수준 보호 제도의 요구 사항에 따라 시스템을 보호하고, 법률 형식으로 등급 보호 작업을 국가 네트워크 보안의 기본 국책으로 정하고, 법적 차원에서 네트워크 보안 분야의 기반과 핵심을 확립해야 한다고 명시했다.
2. 객체 변경
새로운 보안은 보호 개체의 전체 범위를 실현하고 보다 보편적이고 지도적입니다. 개체 (기본 네트워크 포함) 확장, 공통 요구 사항 (산업 제어, 클라우드 컴퓨팅, 대용량 데이터, 인터넷, 모바일 인터넷) 확장, 정보 기술의 급속한 발전에 직면한 새로운 문제, 새로운 과제.
3. 등급 변경
3 급제의 분류는 시민, 법인 및 기타 조직의 합법적 권익에 심각한 영향을 미치는 새로운 침해 대상을 추가하여 3 등급으로 나누어야 합니다.
4. 평가 기준의 변경
평가에 필요한 평가 단위는 평가 대상 항목을 늘려 평가 대상을 더욱 명확하게 했다. 평가 조건은 적응성이 더 강하지만 더 엄격하다 (재평가 기간, 평가 통제 감소, 규정 준수 기준 75 점 이상 인상). 물론, 이 섹션에서는 특정 분야의 일부 업계 주관 부서의 현행 기준도 현황과 예상 결과에 기반한 유연한 요구 사항을 요구합니다. 일부 지역위건위는 병원 등 보험회사의 첫 합격점수선 기준이 80 점, 재시험 합격점수선 기준이 85 점), 모 성 금융업 합격점수선 기준이 90 점이라고 요구했다. 4 급 이상 시스템 재평가 주기가 연장되어 1 년으로 바뀌면서 실제 등급 보호 작업이 직면한 복잡한 상황을 고려하면 실제 작업 시나리오에 더 잘 부합한다.
5. 등급 및 기록 변경 사항 구현
분류 서류의 구현도 변경되어 원래 30 일 동안의 기록 시간이 10 근무일 (영업일 기준) 으로 단축되었습니다. 등보 2.0 의 등급은 독립 등급이 아니다. 공안기관에 가서 등급을 정하기 전에, 두 가지 관건을 추가하여 등급을 정하는 기록의 엄밀성과 정확성을 보장해야 한다. 첫째, 등급 대상의 등급은 전문가의 심사를 거쳐야 하고, 둘째, 주관 부서의 비준을 거쳐 공안기관에 가서 최종 등급 보호 대상의 등급을 결정해야 한다. 전체 평점이 비교적 엄격하다. 새 3 급 이상 등급 객체를 만들어 등급 평가를 통과한 후에야 운영에 들어갈 수 있어' 동기화' 원칙을 강화했다.
6. 기타
하나의 중심, 삼중보호' 라는 사상은 등급보호 2.0 틀에서 승화될 수 있다. 현재 동등한 보호 기준의 보안 시스템보다 동등한 보호 2.0 표준 시스템은 동적 보호 (수동적 보호는 능동적 보호, 정적 보호는 동적 보호, 단일 포인트 보호는 전체 예방 및 통제, 광범위한 보호는 정밀 보호) 에 더 중점을 두고 사전 예방, 사고 대응, 사후 감사를 강조합니다. 국가 네트워크 보안 수준 보호 정책 및 표준에 따르면 수준 보호 2.0 시스템은 조직 관리, 메커니즘 구축, 안전 계획, 안전 모니터링, 통보 경보, 비상 대응, 태세 인식, 능력 건설, 감독 검사, 기술 테스트, 안전 관리, 팀 구성, 교육 훈련, 경비 보장 등의 작업을 요구합니다.
Isosafeguard 2.0 은 처음으로 신뢰할 수 있는 컴퓨팅에 대한 요구 사항을 추가하여 신뢰할 수 있는 검증이 단계적으로 채택될 수 있는 요구 사항을 제시했습니다. 주의해서 쓸 수 있으니 사용해서는 안 된다. 또한 악성 코드 예방과 관련하여 3 단계 시스템은 사전 예방 면역 신뢰 인증 메커니즘을 요구하거나 채택합니다. 4 급 이상의 악성 코드를 방지하기 위해 사전 예방 면역 신뢰 검증 메커니즘을 사용해야 합니다.
평등 보호 2.0 에는 개인 정보 보호 내용이 추가되었고, 개인 정보 보안은 네트워크 보안법의 내용으로서 동등한 보호 요구 사항의 통제 항목에 독립적으로 등장했습니다. 현재 정무상호 연결, 사람과 사람 상호 연결, 개인 정보가 광범위하게 수집되는 상업 및 정부 환경에서는 개인 정보 보호의 중요성과 필요성을 의미합니다.