等保2.0与等保1.0对比清单
等保1.0对比等保2.0
| 项目 | 等保1.0 | 等保2.0 |
|---|---|---|
| 名称 | 信息(系统)安全等级保护 | 网络安全等级保护 |
| 顶层规范性文件 | 计算机信息系统安全保护条例(行政法规) | 网络安全法(法律) |
| 核心体系文件 | 信息安全等级保护管理办法 (部门规范性文件) | 网络安全等级保护条例(征求意见) (行政法规) |
| 配套标准 | 以GB/T 22239-2008、GB/T 28448-2012等为核心的信息系统安全等级保护标准及其他配套标准 | 以修订GB/T 22239、28448等为核心的网络安全等级保护标准(俗称等保2.0标准)及其它配套标准 |
| 流程 | 五个规定动作:定级、备案、建设整改、等级测评和监督检查 | 除五个规定动作外,风险评估、安全监测、通报预警、事件调查、应急演练、灾难备份、自主可控、供应链安全、效果评价、综治考核等重点措施纳入 |
| 定级依据 | 信息安全等级保护管理办法 第十条规定,《信息系统安全等级保护定级指南》配套使用 | 网络安全等级保护条例(征求意见稿)第二条中定义修订GB/T 22240作为进一步细化 |
| 定级对象 | 信息安全等级保护工作直接作用的具体的信息和信息系统 | 网络安全等级保护工作的作用对象,主要包括基础信息网络、工业控制系统、云计算平台、物联网、使用移动互联技术的网络、其他网络以及大数据等。 |
| 定级对象 基本特征 | 1)具有唯一确定的安全责任单位 2)具有信息系统的基本要求 3)承载单一或相对独立的业务应用 | 1)具有确定的主要安全责任主体; 2)承载相对独立的业务应用; 3)包含相互关联的多个资源。 |
| 定级特征 之外要求 | 无 | 详细规定了:基础信息网络、 工业控制系统、云计算平台、物联网、采用移动互联技术的网络和大数据必须遵循的其他要求 |
| 特定定级 对象说明 | 无 | 对于基础信息网络、云计算平台、大数据平台等支撑类网络,原则上应不低于其承载的等级保护对象的安全保护等级大数据安全保护等级不低于第三级 |
| 关基要求 | 无 | 原则上不低于第三级 |
| 定级原则 | 自主定级、自主保 护、监督指导 | 明确等级、增强保护、常态监督 |
| 备案对象 与时限要求 | 二级以上系统,在安全保护等级确定后或新建系统投入使用30日内 | 第二级以上网络运营者应当在网络的安全保护等级确定后10个工作日内 |
| 定级流程 | 直接根据定级要素与安全等级关系定级 | 确定定级对象→初步确定等级→专家评审→主管部门审核→公安机关备案审查 |