“等保2.0”新版本变化分析

突然发现等保2.0最新报批稿的结构又进行了较大改动，和之前的送审稿终板存在较大差异，这里补充说明一下具体变化的情况。

通过和之前的2.0标准对比，细节变化其实不大，主要在控制项的结构变化，以及原先删除的一些内容又加回来了。我们先看下最新的结构是什么样的。

新版“等保2.0”的变化

结构的变化

先看新标准安全通用要求和旧版的变化：

控制大项数量之前是8项，现在又变为了10项，网络安全拆分为安全通信网络和安全区域边界两个部分，主机安全、应用安全和数据及备份合并到安全计算环境中，新增安全管理中心控制项，经过2次改版后，最终是现在的结构。而且各控制大项名称全部变化，与之前的也不同，技术部分减少，管理部分要求增加。

要求项的变化

新老等保2.0的变化

这其中要求项的细节变化可以对比新旧标准自己看一下，可见通用部分的要求项又减少了，三级减少了19项（230->211），二级减少了12项（147->135）。

个人信息保护保留，剩余信息保护又回来了，新增安全管理中心控制大项（之前是没有的）。

扩展要求的变化

新的版本不再分5个单独标准发布，而是整合到一个标准中，用序号标识各扩展要求部分，包括：

安全通用要求；

云计算安全扩展要求；

移动互联安全扩展要求；

物联网安全扩展要求；

工业控制系统安全扩展要求。

经过2次改版，可以说扩展要求的4个部分又略微简化了，是这样一个结构：

扩展部分要求较之前的送审稿明显减少，也就是说新的标准在各个方面都简化了。

原文中的目录截图如下：

等保2.0要求项的变化

由于之前已详细解释过，这里只提一下，相较之前，等保2.0新版的一些明显要求项变化。

技术要求部分

管理要求部分

再来看管理上，可以说变化比较大的是管理要求，主要在前几个部分，后边的建设和运维基本没变化。

总的来看，变化比较大的是整体结构，其实细节上并没有太多变化，不过既然这么来调整，国家肯定有一定的考虑和道理。

结语

本以为最终送审稿就是最终的正式版，没想到短短几个月改动这么大，照此来看，年内颁布实施怕是不好说了，不过大体的方向和细节没有很大的变化，也不用太过担心，还是以最终发布的正式标准为准。

原文始发于微信公众号（秦安战略）：“等保2.0”新版本变化分析