等保2.0标准五合一-看等保要求最新变化

2015年4月第一次专家评审会、2015年12月第二次专家评审会、2016年7月第三次专家评审会、2016年9月再次修订形成标准征求意见稿。先后征求了网信办、工信部、保密局、公安部、国家密码管理局、国家认监委、信息安全测评中心的意见，共收到44条意见，采纳36条。

2017年8月，根据网信办和公安部的意见将5个分册进行整合形成一册送审稿，后收到10条修改意见并全部采纳。

2．内容的变化

基本要求的内容由一个基本要求变更为安全通用要求和安全扩展要求（含云计算、移动互联、物联网、工业控制）。在GB/T 22239 网络安全等级保护基本要求合并了如下5部分：
1）安全通用要求（公安部信息安全等级保护评估中心）
2）云计算安全扩展要求（公安部信息安全等级保护评估中心）
3）移动互联安全扩展要求（北京鼎普科技股份有限公司）
4）物联网安全扩展要求（公安部第一研究所）
5）工业控制系统安全扩展要求（浙江大学）

同样，针对设计要求（GB/T 25070）与测评要求（GB/T 28448）也由5个分册分别整合成一册。

3．标准章节的变化

拿基本要求的第8章节为列， 为第三级安全要求：
8.1 安全通用要求
8.2 云计算安全扩展要求
8.3 移动互联安全扩展要求
8.4 物联网安全扩展要求
8.5 工业控制系统安全扩展要求

4．控制措施分类结构的变化

由原来的10个分类调整为8分，分别为技术部分（物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全）、管理部分（安全策略和管理制度、安全管理机构和人员、安全建设管量、安全运维管理）。

5．环境安全扩展了哪些要求

  针对云计算环境安全扩展要求主要增加的内容包括：“基础设施的位置”、“虚拟化安全保护”、“镜像和快照保护”、“云服务商选择”、“云计算环境管理”等。

  对移动互联环境主要增加的内容包括：“无线接入点的物理位置”、“移动终端管控”、“移动应用管控”、“移动应用软件采购”、“移动应用软件开发”等。

对物联网环境主要增加的内容包括：“感知节点的物理防护”、“感知节点设备安全”、“感知网关节点设备安全”、“感知节点的管理”、“数据融合处理”等。

对工业控制系统主要增加的内容包括：“室外控制设备防护”、“工业控制系统网络架构安全”、“拔号使用控制”、“无线使用控制”、“控制设备安全”。

6．增加了应用场景说明

增加了描述等级保护安全框架和关键技术、云计算应用场景、移动互联应用场景、物联网应用场景、工业控制系统应用场景。

不得不等：划重点：1、以前的信息安全等级保护现在改名叫网络安全等级保护，也就是网络安全法里面说的网络安全等级保护。

2、将等级保护之前在编的5个基本要求分册标准（安全通用要求、 云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求、工业控制系统安全扩展要求）进行了合并形成《网络安全等级保护基本要求》一个标准。

3、控制措施分类由原先的10个分类调整为8个分类，分别为技术部分（物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全）、管理部分（安全策略和管理制度、安全管理机构和人员、安全建设管量、安全运维管理）。

4、新标准里面2级和3级对应的要求项总数分别为145项和231项，相对以前变少了。