网络安全等级保护相关标准修订解读课件

网络安全等级保护相关标准修订解读网络安全等级保护相关标准修订解读网络安全等级保护相关标准修订解读网络安全等级保护相关标准修订解读网络安全等级保护相关标准修订1基础/预备定级安全建设/整改测评整改重新定级《计算机信息系统安全保护等级划分准则》《信息系统安全等级保护实施指南》GB17859-1999GB/T25058-2010《信息系统安全保护等级定级指南》GB/T22240-2008GB/T22239-2008GB/T25070-2010GB/T20271-2006GB/T20269-2006《信息系统安全等级保护基本要求》《信息系统定级保护安全设计技术要求》《信息系统通用安全技术要求》《信息系统安全管理要求》GB/T28448-2012GB/T28449-2012《信息系统安全等级保护测评要求》《信息系统安全等级保护测评过程指南》原等级保护标准体系基础/预备定级安全建设/整改测评整改重新定级《计算机信息系统2现等级保护标准体系GB17859计算机信息系统安全保护等级划分准则GB/T25058网络安全等级保护实施指南GB/T22240网络安全等级保护定级指南GB/T22239网络安全等级保护基本要求GB/T25070网络安全等级保护安全技术设计要求网络安全等级保护安全管理中心技术要求GB/T28448网络安全等级保护测评要求GB/T28449信息系统安全等级保护测评过程指南网络安全等级保护测试评估技术指南（修订）（修订）（修订）（修订）（新立）（修订）（新立）现等级保护标准体系GB17859计算机信息系统安全保护等32014年，为了适应新技术新应用情况下的等级保护工作开展，决定对原标准进行扩展，形成5个分册，以基本要求为例，分为：网络安全等级保护基本要求第1部分：安全通用要求第2部分：云计算安全扩展要求第3部分：移动互联安全扩展要求第4部分：物联网安全扩展要求第5部分：工业控制系统安全扩展要求测评要求和设计要求也进行了相应的扩展，形成了15个标准小组，各小组经过草案、征求意见阶段，在2017年5月形成了标准送审稿。标准修订历程2013年，全国信息安全标准化技术委员会秘书处下达了对原国家标准《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评要求》、《信息系统等级保护安全设计技术要求》的修订工作。2017年8月，网信办、公安部和信安标委达成一致意见，将基本要求、测评要求、设计要求三个标准体系的5个分册标准进行了合并，形成《网络安全等级保护基本要求》、《网络安全等级保护测评要求》、《网络安全等级保护安全设计技术要求》三个单一标准，形成最新版送审稿。2014年，为了适应新技术新应用情况下的等级保护工作4《网络安全等级保护基本要求》主要修订的内容《网络安全等级保护基本要求》主要修订的内容5原来：信息系统安全等级保护基本要求改为：网络安全等级保护基本要求为适应《中华人民共和国网络安全法》，配合落实“网络安全等级保护制度”，变更等级保护相关标准的名称。1.标准名称的变化1.标准名称的变化62.等级保护对象的变化原来：信息安全等级保护工作直接作用的具体信息和信息系统改为：由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统，主要包括基础信息网络、信息系统、云计算平台、大数据平台、物联网系统、工业控制系统等。根据网络安全法，扩展等级保护对象，并解决移动互联、云计算、大数据、物联网和工业控制等新技术、新应用领域的等级保护工作。2.等级保护对象的变化原来：信息安全等级保护工作直接作用的具73.安全要求的变化原来：安全要求改为：安全通用要求和安全扩展要求安全通用要求是不管等级保护对象形态如何必须满足的要求，针对云计算、移动互联、物联网和工业控制系统提出了特殊要求，称为安全扩展要求。3.安全要求的变化原来：安全要求84.章节结构的变化（以第三级要求为例）8第三级安全要求8.1安全通用要求8.1.1物理和环境安全…8.1.8安全运维管理8.2云计算安全扩展要求8.2.1物理和环境安全8.2.2网络和通信安全…8.3移动互联安全扩展要求8.4物联网安全扩展要求8.5工业控制系统安全扩展要求7第三级基本要求7.1技术要求7.1.1物理安全7.1.2网络安全…7.2管理要求7.2.1安全管理制度7.2.2安全管理机构…4.章节结构的变化（以第三级要求为例）8第三级安全要求795.控制措施分类结构的变化技术要求原来：物理安全、网络安全、主机安全、应用安全、数据安全改为：物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全管理要求原来：安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理改为：安全策略和管理制度、安全管理机构与人员、安全建设管理、安全运维管理5.控制措施分类结构的变化技术要求106.通用要求控制点的变化——物理和环境安全序号原分类原有控制点新的分类新的控制点1物理安全物理位置的选择物理和环境安全物理位置的选择2物理访问控制物理访问控制3防盗窃和防破坏防盗窃和防破坏4防雷击防雷击5防火防火6防水和防潮防水和防潮7防静电防静电8温湿度控制温湿度控制9电力供应电力供应10电磁防护电磁防护6.通用要求控制点的变化——物理和环境安全序号原分类原有控制116.通用要求控制点的变化——网络和通信安全序号原分类原有控制点新的分类新的控制点1网络安全结构安全网络和通信安全网络架构2访问控制通信传输3安全审计边界防护4边界完整性检查访问控制5入侵防范入侵防范6恶意代码防范恶意代码防范7网络设备防护安全审计8集中管控6.通用要求控制点的变化——网络和通信安全序号原分类原有控制126.通用要求控制点的变化——设备和计算安全序号原分类原有控制点新的分类新的控制点1主机安全身份鉴别设备和计算安全身份鉴别2安全标记访问控制3访问控制安全审计4可信路径入侵防范5安全审计恶意代码防范6剩余信息保护资源控制7入侵防范8恶意代码防范9资源控制6.通用要求控制点的变化——设备和计算安全序号原分类原有控制136.通用要求控制点的变化——应用和数据安全序号原分类原有控制点新的分类新的控制点1应用安全身份鉴别应用和数据安全身份鉴别2安全标记访问控制3访问控制安全审计4可信路径软件容错5安全审计资源控制6剩余信息保护数据完整性7通信完整性数据保密性8通信保密性数据备份恢复9抗抵赖剩余信息保护10软件容错个人信息保护11资源控制1数据安全及备份恢复数据完整性2数据保密性3备份和恢复6.通用要求控制点的变化——应用和数据安全序号原分类原有控制146.通用要求控制点的变化——安全管理策略和管理制度序号原分类原有控制点新的分类新的控制点1安全管理制度管理制度安全策略和管理制度安全策略2制定和发布管理制度3评审和修订制定和发布4评审和修订6.通用要求控制点的变化——安全管理策略和管理制度序号原分类156.通用要求控制点的变化——安全管理机构和人员序号原分类原有控制点新的分类新的控制点1安全管理机构岗位设置安全管理机构和人员岗位设置2人员配备人员配备3授权和审批授权和审批4沟通和合作沟通和合作5审核和检查审核和检查1人员安全管理人员录用人员录用2人员离岗人员离岗3人员考核安全意识教育和培训4安全意识教育和培训外部人员访问管理5外部人员访问管理6.通用要求控制点的变化——安全管理机构和人员序号原分类原有166.通用要求控制点的变化——安全建设管理序号原分类原有控制点新的分类新的控制点1系统建设管理系统定级安全建设管理定级和备案2安全方案设计安全方案设计3产品采购和使用产品采购和使用4自行软件开发自行软件开发5外包软件开发外包软件开发6工程实施工程实施7测试验收测试验收8系统交付系统交付9系统备案等级测评10等级测评服务供应商选择11安全服务商选择6.通用要求控制点的变化——安全建设管理序号原分类原有控制点176.通用要求控制点的变化——安全运维管理序号原分类原有控制点新的分类新的控制点1系统运维管理环境管理安全运维管理环境管理2资产管理资产管理3介质管理介质管理4设备管理设备维护管理5监控管理和安全管理中心漏洞和风险管理6网络安全管理网络和系统管理7系统安全管理恶意代码防范管理8恶意代码防范管理配置管理9密码管理密码管理10变更管理变更管理11备份与恢复管理备份与恢复管理12安全事件处置安全事件处置13应急预案管理应急预案管理14外包运维管理6.通用要求控制点的变化——安全运维管理序号原分类原有控制点186.通用要求标准控制点的变化安全要求类层面一级二级三级四级技术要求物理和环境安全7101010网络和通信安全4688设备和计算安全4666应用和数据安全591010管理要求安全策略和管理制度1444安全管理机构和人员7999安全建设管理7101010安全运维管理8141414合计（新标准）43687171合计（旧标准）486673776.通用要求标准控制点的变化安全要求类层面一级二级三级四级技197.增加云计算安全扩展要求云计算安全扩展要求章节针对云计算的特点提出特殊保护要求。由第2分册（之前的云计算安全扩展要求分册）合并为基本要求的X.2章节，合并后精炼保留针对云计算特点的特殊保护要求，增加包括“基础设施的位置”、“虚拟化安全保护”、“镜像和快照保护”、“云服务商选择”和“云计算环境管理”等方面。7.增加云计算安全扩展要求云计算安全扩展要求章节针对云计算的208.增加了移动互联安全扩展要求移动互联安全扩展要求章节针对移动互联的特点提出特殊保护要求。由第3分册（之前的移动互联网安全扩展要求分册）合并为基本要求的X.3章节，合并后精炼保留针对移动互联网特点的特殊保护要求，增加包括“无线接入点的物理位置”、“移动终端管控”、“移动应用管控”、“移动应用软件采购”和“移动应用软件开发”等方面。8.增加了移动互联安全扩展要求移动互联安全扩展要求章节针对移219.增加了物联网安全扩展要求物联网安全扩展要求章节针对物联网的特点提出特殊保护要求。由第4分册（之前的物联网安全扩展要求分册）合并为基本要求的X.4章节，合并后精炼保留针对物联网的感知网部分特殊保护要求，增加包括“感知节点的物理防护”、“感知节点设备安全”、“网关节点设备安全”、“感知节点的管理”和“数据融合处理”等方面。9.增加了物联网安全扩展要求物联网安全扩展要求章节针对物联网2210.增加了工业控制系统安全扩展要求工业控制系统安全扩展要求章节针对工业控制系统的特点提出特殊保护要求。对工业控制系统主要增加的内容包括“室外控制设备防护”、“工业控制系统网络架构安全”、“拨号使用控制”、“无线使用控制”和“控制设备安全”等方面，针对工业控制系统实时性要求高的特点调整了“漏洞和风险管理”和“恶意代码防范管理”方面的要求。10.增加了工业控制系统安全扩展要求工业控制系统安全扩展要求23安全要求类层面一级二级三级四级技术要求物理和环境安全7152223网络和通信安全7153333设备和计算安全7172626应用和数据安全8223437管理要求安全策略和管理制度1677安全管理机构和人员7162629安全建设管理9233435安全运维管理13314951合计（新标准）59145231241合计（旧标准）8517529031811.标准控制项的变化——通用要求安全要求类层面一级二级三级四级技术要求物理和环境安全71522411.标准控制项的变化——扩展要求安全要求项一级二级三级四级安全通用要求（X.1）59145231241云计算安全扩展要求（X.2）12376061移动互联安全扩展要求（X.3）5192324物联网安全扩展要求（X.4）792324工业控制系统安全扩展要求（X.5）1018262711.标准控制项的变化——扩展要求安全要求项一级二级三级四级2512.取消了安全控制点的标注适应定级方法的变化，取消了原来安全控制点的S、A、G标注，调整原来的附录B“安全要求的选择和使用“，描述等级保护对象的定级结果和安全要求之间的关系，增加安全控制措施选择时，控制点的标注及使用说明。12.取消了安全控制点的标注适应定级方法的变化，取消了原来安2613.增加了应用场景的说明增加附录C描述等级保护安全框架和关键技术，增加附录D描述云计算应用场景，附录E描述移动互联应用场景，附录F描述物联网应用场景，附录G描述工业控制系统应用场景。等级保护安全框架13.增加了应用场景的说明增加附录C描述等级保护安全框架和27图D.1云计算服务模式与控制范围的关系13.增加了应用场景的说明图D.1云计算服务模式与控制范围的关系13.增加了应用场景28层面安全要求安全组件责任主体物理和环境安全物理位置选择数据中心及物理设施云服务商网络和通信安全网络结构、访问控制、入侵防范、安全审计物理网络及附属设备、虚拟网络管理平台云服务商云服务客户虚拟网络安全域云服务客户设备和计算安全身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、资源控制、镜像和快照保护物理网络及附属设备、虚拟网络管理平台、物理宿主机及附属设备、虚拟机管理平台、镜像等云服务商云服务客户虚拟网络设备、虚拟安全设备、虚拟机等云服务客户应用和数据安全安全审计、资源控制、接口安全、数据完整性、数据保密性、数据备份恢复云管理平台（含运维和运营）、镜像、快照等云服务商云服务客户应用系统及相关软件组件、云服务客户应用系统配置、云服务客户业务相关数据等云服务客户安全管理机构和人员授权和审批授权和审批流程、文档等云服务商安全建设管理安全方案设计、测试验收、云服务商选择、供应链管理云计算平台接口、安全措施、供应链管理流程、安全事件和重要变更信息云服务商云服务商选择及管理流程云服务客户安全运维管理监控和审计管理监控和审计管理的相关流程、策略和数据云服务商、云服务客户IaaS模式下云服务商与租户的责任划分层面安全要求安全组件责任主体物理和环境安全物理位置选择数据中29层面安全要求安全组件责任主体物理和环境安全物理位置选择数据中心及物理设施云服务商网络和通信安全网络结构、访问控制、远程访问、入侵防范、安全审计物理网络及附属设备、虚拟网络管理平台、虚拟网络安全域云服务商设备和计算安全身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、资源控制、镜像和快照保护物理网络及附属设备、虚拟网络管理平台、物理宿主机及附属设备、虚拟机管理平台、镜像、虚拟机、虚拟网络设备、虚拟安全设备等云服务商应用和数据安全安全审计、资源控制、接口安全、数据完整性、数据保密性、数据备份恢复云管理平台（含运维和运营）、镜像、快照等云服务商云服务客户应用系统及相关软件组件、云服务客户应用系统配置、云服务客户业务相关数据等云服务客户安全管理机构和人员授权和审批授权和审批流程、文档等云服务商安全建设管理安全方案设计、测试验收、云服务商选择、供应链管理云计算平台接口、安全措施、供应链管理流程、安全事件和重要变更信息云服务商云服务商选择及管理流程云服务客户安全运维管理监控和审计管理监控和审计管理的相关流程、策略和数据云服务商PaaS模式下云服务商与租户的责任划分层面安全要求安全组件责任主体物理和环境安全物理位置选择数据中30SaaS模式下云服务商与租户的责任划分层面安全要求安全组件责任主体物理和环境安全物理位置选择数据中心及物理设施云服务商网络和通信安全网络结构、访问控制、远程访问、入侵防范、安全审计物理网络及附属设备、虚拟网络管理平台、虚拟网络安全域云服务商设备和计算安全身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、资源控制、镜像和快照保护物理网络及附属设备、虚拟网络管理平台、物理宿主机及附属设备、虚拟机管理平台、镜像、虚拟机、虚拟网络设备、虚拟安全设备等云服务商应用和数据安全安全审计、资源控制、接口安全、数据完整性、数据保密性、数据备份恢复云管理平台（含运维和运营）、镜像、快照等、应用系统及相关软件组件云服务商云服务客户应用系统配置、云服务客户业务相关数据等云服务客户安全管理机构和人员授权和审批授权和审批流程、文档等云服务商安全建设管理安全方案设计、测试验收、云服务商选择、供应链管理云计算平台接口、安全措施、供应链管理流程、安全事件和重要变更信息云服务商云服务商选择及管理流程云服务客户安全运维管理监控和审计管理监控和审计管理的相关流程、策略和数据云服务商SaaS模式下云服务商与租户的责任划分层面安全要求安全组件责31图E.1移动互联应用架构图F.1物联网系统构成13.增加了应用场景的说明图E.1移动互联应用架构图F.1物联网系统构成13.增加32《网络安全等级保护测评要求》主要修订的内容《网络安全等级保护测评要求》主要修订的内容33主要修订内容名称的变化及等级保护测评对象的变化。（与基本要求一致）每级分别遵从《基本要求》的框架描述如何实施测评工作，每个级别包括安全测评通用要求、云计算安全测评扩展要求、移动互联安全测评扩展要求、物联网安全测评扩展要求和工业控制系统安全测评扩展要求等5个部分内容。测评项与基本要求一致。为了更加易于使用测评要求，增加《附录B测评单元编号说明》和《附录D基本要求和测评要求对应表》。主要修订内容名称的变化及等级保护测评对象的变化。（与基本要求34等级测评描述框架等级测评分为单项测评和整体测评。单项测评是针对各安全要求项的测评，支持测评结果的可重复性和可再现性。本标准中单项测评由测评指标、测评对象、测评实施和单元判定结果构成。整体测评是在单项测评基础上，对等级保护对象整体安全保护能力的判断。整体安全保护能力从纵深防护和措施互补二个角度评判。测评流程方法的变化等级测评描述框架等级测评分为单项测评和整体测评。测评流程方法35在级差上的变化测试方法：第一级主要以访谈位置，第二级核查为主，第三级和第四级在核查的基础上进行测试验证。测评对象范围：第一级和第二级为关键设备，第三级主要设备，第四级所有设备测评实施：第一级和第二级以核查安全机制为主，第三级和第四级先核查安全机制，再检查策略有效性。测评方法使用：安全技术方面的测评方法以配置核查和测试验证为主，几乎没有访谈。安全管理方面可以使用访谈方式进行测评在级差上的变化测试方法：第一级主要以访谈位置，第二级核查为主36《网络安全等级保护安全设计技术要求》主要修订的内容《网络安全等级保护安全设计技术要求》主要修订的内容37名称的变化及等级化保护对象的变化。（与基本要求一致）沿用“一个中心三重防护“的防护理念，在通用的等级保护安全设计框架下，针对云计算、移动互联、物理网、工业控制系统提出了新的安全设计框架。在每一级的“安全计算环境设计技术要求“、”安全区域边界技术设计技术要求”、“安全通信网络设计技术要求”中，除了通用设计外，增加了针对云计算、移动互联、物联网、工业控制系统的设计要求。主要修订内容名称的变化及等级化保护对象的变化。（与基本要求一致）主要修订38网络安全等级保护安全技术设计框架网络安全等级保护安全技术设计框架39云计算安全防护技术框架云计算安全防护技术框架40移动互联系统安全防护技术框架移动互联系统安全防护技术框架41物联网安全防护技术框架物联网安全防护技术框架42工业控制系统安全防护技术框架工业控制系统安全防护技术框架43现等级保护标准体系GB17859计算机信息系统安全保护等级划分准则GB/T25058网络安全等级保护实施指南GB/T22240网络安全等级保护定级指南GB/T22239网络安全等级保护基本要求GB/T25070网络安全等级保护安全技术设计要求网络安全等级保护安全管理中心技术要求GB/T28448网络安全等级保护测评要求GB/T28449信息系统安全等级保护测评过程指南网络安全等级保护测试评估技术指南（修订）（修订）（修订）（修订）（新立）（修订）（新立）现等级保护标准体系GB17859计算机信息系统安全保护等44《网络安全等级保护定级指南》主要修订的内容（草案阶段）《网络安全等级保护定级指南》主要修订的内容（草案阶段）45原来：信息安全等级保护工作直接作用的具体信息和信息系统改为：网络安全等级保护的作用对象，主要包括基础信息网络、工业控制系统、云计算平台、大数据平台、物联网、使用移动互联技术的网络系统以及其他网络系统。（目前文字描述上与基本要求不一致，但意思相同，后期应该会统一）根据网络安全法，扩展等级保护对象，并解决移动互联、云计算、大数据、物联网和工业控制等新技术、新应用领域的等级保护工作。1.等级保护对象的修订原来：信息安全等级保护工作直接作用的具体信息和信息系统1.等462.新增相关标准术语基础信息网络：为信息流通、网络系统运行等起基础支撑作用的信息网络，包括电信网、广播电视传输网、互联网、业务专网等网络设备设施。关键信息基础设施：公共通信和信息服务、能源、金融、交通、水利、公共服务和电子政务等重要行业和领域以及其他一旦遭到破坏、丧失功能或数据泄露，可能严重危害国家安全、国计民生和公共利益的网络系统。大数据平台：采用分布式存储和计算技术，提供大数据的访问、处理和存储，支撑大数据应用安全高效运行的软硬件集合。。2.新增相关标准术语基础信息网络：为信息流通、网络系统运行等473.第三级定义的修订原来：信息系统受到破坏后，会对社会秩序和公共利益造成严重损坏，或者对国家安全造成损害。改为：等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生特别严重损害，或者对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。受侵害的客体对客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第三级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级定级要素与安全保护等级的关系3.第三级定义的修订原来：信息系统受到破坏后，会对社会秩序和484.明确了定级工作的流程4.明确了定级工作的流程495.定级对象的确定作为定级对象的网络系统应具有如下基本特征：具有确定的主要安全责任主体。——包含但不限于企业、机关和事业单位等法人，以及不具备法人资格的社会团体等其他组织。承载相对独立的业务应用。包含相互关联的多个资源。——如由服务器、终端、网络互联设备和安全设备组成的办公自动化系统，单一设备不单独定级。5.定级对象的确定作为定级对象的网络系统应具有如下基本特征：505.定级对象的确定5.定级对象的确定515.定级对象的确定5.定级对象的确定52谢谢！谢谢！53网络安全等级保护相关标准修订解读网络安全等级保护相关标准修订解读网络安全等级保护相关标准修订解读网络安全等级保护相关标准修订解读网络安全等级保护相关标准修订54基础/预备定级安全建设/整改测评整改重新定级《计算机信息系统安全保护等级划分准则》《信息系统安全等级保护实施指南》GB17859-1999GB/T25058-2010《信息系统安全保护等级定级指南》GB/T22240-2008GB/T22239-2008GB/T25070-2010GB/T20271-2006GB/T20269-2006《信息系统安全等级保护基本要求》《信息系统定级保护安全设计技术要求》《信息系统通用安全技术要求》《信息系统安全管理要求》GB/T28448-2012GB/T28449-2012《信息系统安全等级保护测评要求》《信息系统安全等级保护测评过程指南》原等级保护标准体系基础/预备定级安全建设/整改测评整改重新定级《计算机信息系统55现等级保护标准体系GB17859计算机信息系统安全保护等级划分准则GB/T25058网络安全等级保护实施指南GB/T22240网络安全等级保护定级指南GB/T22239网络安全等级保护基本要求GB/T25070网络安全等级保护安全技术设计要求网络安全等级保护安全管理中心技术要求GB/T28448网络安全等级保护测评要求GB/T28449信息系统安全等级保护测评过程指南网络安全等级保护测试评估技术指南（修订）（修订）（修订）（修订）（新立）（修订）（新立）现等级保护标准体系GB17859计算机信息系统安全保护等562014年，为了适应新技术新应用情况下的等级保护工作开展，决定对原标准进行扩展，形成5个分册，以基本要求为例，分为：网络安全等级保护基本要求第1部分：安全通用要求第2部分：云计算安全扩展要求第3部分：移动互联安全扩展要求第4部分：物联网安全扩展要求第5部分：工业控制系统安全扩展要求测评要求和设计要求也进行了相应的扩展，形成了15个标准小组，各小组经过草案、征求意见阶段，在2017年5月形成了标准送审稿。标准修订历程2013年，全国信息安全标准化技术委员会秘书处下达了对原国家标准《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评要求》、《信息系统等级保护安全设计技术要求》的修订工作。2017年8月，网信办、公安部和信安标委达成一致意见，将基本要求、测评要求、设计要求三个标准体系的5个分册标准进行了合并，形成《网络安全等级保护基本要求》、《网络安全等级保护测评要求》、《网络安全等级保护安全设计技术要求》三个单一标准，形成最新版送审稿。2014年，为了适应新技术新应用情况下的等级保护工作57《网络安全等级保护基本要求》主要修订的内容《网络安全等级保护基本要求》主要修订的内容58原来：信息系统安全等级保护基本要求改为：网络安全等级保护基本要求为适应《中华人民共和国网络安全法》，配合落实“网络安全等级保护制度”，变更等级保护相关标准的名称。1.标准名称的变化1.标准名称的变化592.等级保护对象的变化原来：信息安全等级保护工作直接作用的具体信息和信息系统改为：由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统，主要包括基础信息网络、信息系统、云计算平台、大数据平台、物联网系统、工业控制系统等。根据网络安全法，扩展等级保护对象，并解决移动互联、云计算、大数据、物联网和工业控制等新技术、新应用领域的等级保护工作。2.等级保护对象的变化原来：信息安全等级保护工作直接作用的具603.安全要求的变化原来：安全要求改为：安全通用要求和安全扩展要求安全通用要求是不管等级保护对象形态如何必须满足的要求，针对云计算、移动互联、物联网和工业控制系统提出了特殊要求，称为安全扩展要求。3.安全要求的变化原来：安全要求614.章节结构的变化（以第三级要求为例）8第三级安全要求8.1安全通用要求8.1.1物理和环境安全…8.1.8安全运维管理8.2云计算安全扩展要求8.2.1物理和环境安全8.2.2网络和通信安全…8.3移动互联安全扩展要求8.4物联网安全扩展要求8.5工业控制系统安全扩展要求7第三级基本要求7.1技术要求7.1.1物理安全7.1.2网络安全…7.2管理要求7.2.1安全管理制度7.2.2安全管理机构…4.章节结构的变化（以第三级要求为例）8第三级安全要求7625.控制措施分类结构的变化技术要求原来：物理安全、网络安全、主机安全、应用安全、数据安全改为：物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全管理要求原来：安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理改为：安全策略和管理制度、安全管理机构与人员、安全建设管理、安全运维管理5.控制措施分类结构的变化技术要求636.通用要求控制点的变化——物理和环境安全序号原分类原有控制点新的分类新的控制点1物理安全物理位置的选择物理和环境安全物理位置的选择2物理访问控制物理访问控制3防盗窃和防破坏防盗窃和防破坏4防雷击防雷击5防火防火6防水和防潮防水和防潮7防静电防静电8温湿度控制温湿度控制9电力供应电力供应10电磁防护电磁防护6.通用要求控制点的变化——物理和环境安全序号原分类原有控制646.通用要求控制点的变化——网络和通信安全序号原分类原有控制点新的分类新的控制点1网络安全结构安全网络和通信安全网络架构2访问控制通信传输3安全审计边界防护4边界完整性检查访问控制5入侵防范入侵防范6恶意代码防范恶意代码防范7网络设备防护安全审计8集中管控6.通用要求控制点的变化——网络和通信安全序号原分类原有控制656.通用要求控制点的变化——设备和计算安全序号原分类原有控制点新的分类新的控制点1主机安全身份鉴别设备和计算安全身份鉴别2安全标记访问控制3访问控制安全审计4可信路径入侵防范5安全审计恶意代码防范6剩余信息保护资源控制7入侵防范8恶意代码防范9资源控制6.通用要求控制点的变化——设备和计算安全序号原分类原有控制666.通用要求控制点的变化——应用和数据安全序号原分类原有控制点新的分类新的控制点1应用安全身份鉴别应用和数据安全身份鉴别2安全标记访问控制3访问控制安全审计4可信路径软件容错5安全审计资源控制6剩余信息保护数据完整性7通信完整性数据保密性8通信保密性数据备份恢复9抗抵赖剩余信息保护10软件容错个人信息保护11资源控制1数据安全及备份恢复数据完整性2数据保密性3备份和恢复6.通用要求控制点的变化——应用和数据安全序号原分类原有控制676.通用要求控制点的变化——安全管理策略和管理制度序号原分类原有控制点新的分类新的控制点1安全管理制度管理制度安全策略和管理制度安全策略2制定和发布管理制度3评审和修订制定和发布4评审和修订6.通用要求控制点的变化——安全管理策略和管理制度序号原分类686.通用要求控制点的变化——安全管理机构和人员序号原分类原有控制点新的分类新的控制点1安全管理机构岗位设置安全管理机构和人员岗位设置2人员配备人员配备3授权和审批授权和审批4沟通和合作沟通和合作5审核和检查审核和检查1人员安全管理人员录用人员录用2人员离岗人员离岗3人员考核安全意识教育和培训4安全意识教育和培训外部人员访问管理5外部人员访问管理6.通用要求控制点的变化——安全管理机构和人员序号原分类原有696.通用要求控制点的变化——安全建设管理序号原分类原有控制点新的分类新的控制点1系统建设管理系统定级安全建设管理定级和备案2安全方案设计安全方案设计3产品采购和使用产品采购和使用4自行软件开发自行软件开发5外包软件开发外包软件开发6工程实施工程实施7测试验收测试验收8系统交付系统交付9系统备案等级测评10等级测评服务供应商选择11安全服务商选择6.通用要求控制点的变化——安全建设管理序号原分类原有控制点706.通用要求控制点的变化——安全运维管理序号原分类原有控制点新的分类新的控制点1系统运维管理环境管理安全运维管理环境管理2资产管理资产管理3介质管理介质管理4设备管理设备维护管理5监控管理和安全管理中心漏洞和风险管理6网络安全管理网络和系统管理7系统安全管理恶意代码防范管理8恶意代码防范管理配置管理9密码管理密码管理10变更管理变更管理11备份与恢复管理备份与恢复管理12安全事件处置安全事件处置13应急预案管理应急预案管理14外包运维管理6.通用要求控制点的变化——安全运维管理序号原分类原有控制点716.通用要求标准控制点的变化安全要求类层面一级二级三级四级技术要求物理和环境安全7101010网络和通信安全4688设备和计算安全4666应用和数据安全591010管理要求安全策略和管理制度1444安全管理机构和人员7999安全建设管理7101010安全运维管理8141414合计（新标准）43687171合计（旧标准）486673776.通用要求标准控制点的变化安全要求类层面一级二级三级四级技727.增加云计算安全扩展要求云计算安全扩展要求章节针对云计算的特点提出特殊保护要求。由第2分册（之前的云计算安全扩展要求分册）合并为基本要求的X.2章节，合并后精炼保留针对云计算特点的特殊保护要求，增加包括“基础设施的位置”、“虚拟化安全保护”、“镜像和快照保护”、“云服务商选择”和“云计算环境管理”等方面。7.增加云计算安全扩展要求云计算安全扩展要求章节针对云计算的738.增加了移动互联安全扩展要求移动互联安全扩展要求章节针对移动互联的特点提出特殊保护要求。由第3分册（之前的移动互联网安全扩展要求分册）合并为基本要求的X.3章节，合并后精炼保留针对移动互联网特点的特殊保护要求，增加包括“无线接入点的物理位置”、“移动终端管控”、“移动应用管控”、“移动应用软件采购”和“移动应用软件开发”等方面。8.增加了移动互联安全扩展要求移动互联安全扩展要求章节针对移749.增加了物联网安全扩展要求物联网安全扩展要求章节针对物联网的特点提出特殊保护要求。由第4分册（之前的物联网安全扩展要求分册）合并为基本要求的X.4章节，合并后精炼保留针对物联网的感知网部分特殊保护要求，增加包括“感知节点的物理防护”、“感知节点设备安全”、“网关节点设备安全”、“感知节点的管理”和“数据融合处理”等方面。9.增加了物联网安全扩展要求物联网安全扩展要求章节针对物联网7510.增加了工业控制系统安全扩展要求工业控制系统安全扩展要求章节针对工业控制系统的特点提出特殊保护要求。对工业控制系统主要增加的内容包括“室外控制设备防护”、“工业控制系统网络架构安全”、“拨号使用控制”、“无线使用控制”和“控制设备安全”等方面，针对工业控制系统实时性要求高的特点调整了“漏洞和风险管理”和“恶意代码防范管理”方面的要求。10.增加了工业控制系统安全扩展要求工业控制系统安全扩展要求76安全要求类层面一级二级三级四级技术要求物理和环境安全7152223网络和通信安全7153333设备和计算安全7172626应用和数据安全8223437管理要求安全策略和管理制度1677安全管理机构和人员7162629安全建设管理9233435安全运维管理13314951合计（新标准）59145231241合计（旧标准）8517529031811.标准控制项的变化——通用要求安全要求类层面一级二级三级四级技术要求物理和环境安全71527711.标准控制项的变化——扩展要求安全要求项一级二级三级四级安全通用要求（X.1）59145231241云计算安全扩展要求（X.2）12376061移动互联安全扩展要求（X.3）5192324物联网安全扩展要求（X.4）792324工业控制系统安全扩展要求（X.5）1018262711.标准控制项的变化——扩展要求安全要求项一级二级三级四级7812.取消了安全控制点的标注适应定级方法的变化，取消了原来安全控制点的S、A、G标注，调整原来的附录B“安全要求的选择和使用“，描述等级保护对象的定级结果和安全要求之间的关系，增加安全控制措施选择时，控制点的标注及使用说明。12.取消了安全控制点的标注适应定级方法的变化，取消了原来安7913.增加了应用场景的说明增加附录C描述等级保护安全框架和关键技术，增加附录D描述云计算应用场景，附录E描述移动互联应用场景，附录F描述物联网应用场景，附录G描述工业控制系统应用场景。等级保护安全框架13.增加了应用场景的说明增加附录C描述等级保护安全框架和80图D.1云计算服务模式与控制范围的关系13.增加了应用场景的说明图D.1云计算服务模式与控制范围的关系13.增加了应用场景81层面安全要求安全组件责任主体物理和环境安全物理位置选择数据中心及物理设施云服务商网络和通信安全网络结构、访问控制、入侵防范、安全审计物理网络及附属设备、虚拟网络管理平台云服务商云服务客户虚拟网络安全域云服务客户设备和计算安全身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、资源控制、镜像和快照保护物理网络及附属设备、虚拟网络管理平台、物理宿主机及附属设备、虚拟机管理平台、镜像等云服务商云服务客户虚拟网络设备、虚拟安全设备、虚拟机等云服务客户应用和数据安全安全审计、资源控制、接口安全、数据完整性、数据保密性、数据备份恢复云管理平台（含运维和运营）、镜像、快照等云服务商云服务客户应用系统及相关软件组件、云服务客户应用系统配置、云服务客户业务相关数据等云服务客户安全管理机构和人员授权和审批授权和审批流程、文档等云服务商安全建设管理安全方案设计、测试验收、云服务商选择、供应链管理云计算平台接口、安全措施、供应链管理流程、安全事件和重要变更信息云服务商云服务商选择及管理流程云服务客户安全运维管理监控和审计管理监控和审计管理的相关流程、策略和数据云服务商、云服务客户IaaS模式下云服务商与租户的责任划分层面安全要求安全组件责任主体物理和环境安全物理位置选择数据中82层面安全要求安全组件责任主体物理和环境安全物理位置选择数据中心及物理设施云服务商网络和通信安全网络结构、访问控制、远程访问、入侵防范、安全审计物理网络及附属设备、虚拟网络管理平台、虚拟网络安全域云服务商设备和计算安全身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、资源控制、镜像和快照保护物理网络及附属设备、虚拟网络管理平台、物理宿主机及附属设备、虚拟机管理平台、镜像、虚拟机、虚拟网络设备、虚拟安全设备等云服务商应用和数据安全安全审计、资源控制、接口安全、数据完整性、数据保密性、数据备份恢复云管理平台（含运维和运营）、镜像、快照等云服务商云服务客户应用系统及相关软件组件、云服务客户应用系统配置、云服务客户业务相关数据等云服务客户安全管理机构和人员授权和审批授权和审批流程、文档等云服务商安全建设管理安全方案设计、测试验收、云服务商选择、供应链管理云计算平台接口、安全措施、供应链管理流程、安全事件和重要变更信息云服务商云服务商选择及管理流程云服务客户安全运维管理监控和审计管理监控和审计管理的相关流程、策略和数据云服务商PaaS模式下云服务商与租户的责任划分层面安全要求安全组件责任主体物理和环境安全物理位置选择数据中83SaaS模式下云服务商与租户的责任划分层面安全要求安全组件责任主体物理和环境安全物理位置选择数据中心及物理设施云服务商网络和通信安全网络结构、访问控制、远程访问、入侵防范、安全审计物理网络及附属设备、虚拟网络管理平台、虚拟网络安全域云服务商设备和计算安全身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、资源控制、镜像和快照保护物理网络及附属设备、虚拟网络管理平台、物理宿主机及附属设备、虚拟机管理平台、镜像、虚拟机、虚拟网络设备、虚拟安全设备等云服务商应用和数据安全安全审计、资源控制、接口安全、数据完整性、数据保密性、数据备份恢复云管理平台（含运维和运营）、镜像、快照等、应用系统及相关软件组件云服务商云服务客户应用系统配置、云服务客户业务相关数据等云服务客户安全管理机构和人员授权和审批授权和审批流程、文档等云服务商安全建设管理安全方案设计、测试验收、云服务商选择、供应链管理云计算平台接口、安全措施、供应链管理流程、安全事件和重要变更信息云服务商云服务商选择及管理流程云服务客户安全运维管理监控和审计管理监控和审计管理的相关流程、策略和数据云服务商SaaS模式下云服务商与租户的责任划分层面安全要求安全组件责84图E.1移动互联应用架构图F.1物联网系统构成13.增加了应用场景的说明图E.1移动互联应用架构图F.1物联网系统构成13.增加85《网络安全等级保护测评要求》主要修订的内容《网络安全等级保护测评要求》主要修订的内容86主要修订内容名称的变化及等级保护测评对象的变化。（与基本要求一致）每级分别遵从《基本要求》的框架描述如何实施测评工作，每个级别包括安全测评通用要求、云计算安全测评扩展要求、移动互联安全测评扩展要求、物联网安全测评扩展要求和工业控制系统安全测评扩展要求等5个部分内容。测评项与基本要求一致。为了更加易于使用测评要求，增加《附录B测评单元编号说明》和《附录D基本要求和测评要求对应表》。主要修订内容名称的变化及等级保护测评对象的变化。（与基本要求87等级测评描述框架等级测评分为单项测评和整体测评。单项测评是针对各安全要求项的测评，支持测评结果的可重复性和可再现性。本标准中单项测评由测评指标、测评对象、测评实施和单元判定结果构成。整体测评是在单项测评基础上，对等级保护对象整体安全保护能力的判断。整体安全保护能力从纵深防护和措施互补二个角度评判。测评流程方法的变化等级测评描述框架等级测评分为单项测评和整