网络安全等级保护相关标准修订解读.pptVIP

6.通用要求控制点的变化——应用和数据安全序号原分类原有控制点新的分类新的控制点1应用安全身份鉴别应用和数据安全身份鉴别2安全标记访问控制3访问控制安全审计4可信路径软件容错5安全审计资源控制6剩余信息保护数据完整性7通信完整性数据保密性8通信保密性数据备份恢复9抗抵赖剩余信息保护10软件容错个人信息保护11资源控制1数据安全及备份恢复数据完整性2数据保密性3备份和恢复6.通用要求控制点的变化——安全管理策略和管理制度序号原分类原有控制点新的分类新的控制点1安全管理制度管理制度安全策略和管理制度安全策略2制定和发布管理制度3评审和修订制定和发布4评审和修订6.通用要求控制点的变化——安全管理机构和人员序号原分类原有控制点新的分类新的控制点1安全管理机构岗位设置安全管理机构和人员岗位设置2人员配备人员配备3授权和审批授权和审批4沟通和合作沟通和合作5审核和检查审核和检查1人员安全管理人员录用人员录用2人员离岗人员离岗3人员考核安全意识教育和培训4安全意识教育和培训外部人员访问管理5外部人员访问管理6.通用要求控制点的变化——安全建设管理序号原分类原有控制点新的分类新的控制点1系统建设管理系统定级安全建设管理定级和备案2安全方案设计安全方案设计3产品采购和使用产品采购和使用4自行软件开发自行软件开发5外包软件开发外包软件开发6工程实施工程实施7测试验收测试验收8系统交付系统交付9系统备案等级测评10等级测评服务供应商选择11安全服务商选择6.通用要求控制点的变化——安全运维管理序号原分类原有控制点新的分类新的控制点1系统运维管理环境管理安全运维管理环境管理2资产管理资产管理3介质管理介质管理4设备管理设备维护管理5监控管理和安全管理中心漏洞和风险管理6网络安全管理网络和系统管理7系统安全管理恶意代码防范管理8恶意代码防范管理配置管理9密码管理密码管理10变更管理变更管理11备份与恢复管理备份与恢复管理12安全事件处置安全事件处置13应急预案管理应急预案管理14外包运维管理6.通用要求标准控制点的变化安全要求类层面一级二级三级四级技术要求物理和环境安全7101010网络和通信安全4688设备和计算安全4666应用和数据安全591010管理要求安全策略和管理制度1444安全管理机构和人员7999安全建设管理7101010安全运维管理8141414合计（新标准）43687171合计（旧标准）486673777.增加云计算安全扩展要求云计算安全扩展要求章节针对云计算的特点提出特殊保护要求。由第2分册（之前的云计算安全扩展要求分册）合并为基本要求的X.2章节，合并后精炼保留针对云计算特点的特殊保护要求，增加包括“基础设施的位置”、“虚拟化安全保护”、“镜像和快照保护”、“云服务商选择”和“云计算环境管理”等方面。8.增加了移动互联安全扩展要求移动互联安全扩展要求章节针对移动互联的特点提出特殊保护要求。由第3分册（之前的移动互联网安全扩展要求分册）合并为基本要求的X.3章节，合并后精炼保留针对移动互联网特点的特殊保护要求，增加包括“无线接入点的物理位置”、“移动终端管控”、“移动应用管控”、“移动应用软件采购”和“移动应用软件开发”等方面。9.增加了物联网安全扩展要求物联网安全扩展要求章节针对物联网的特点提出特殊保护要求。由第4分册（之前的物联网安全扩展要求分册）合并为基本要求的X.4章节，合并后精炼保留针对物联网的感知网部分特殊保护要求，增加包括“感知节点的物理防护”、“感知节点设备安全”、“网关节点设备安全”、“感知节点的管理”和“数据融合处理”等方面。10.增加了工业控制系统安全扩展要求工业控制系统安全扩展要求章节针对工业控制系统的特点提出特殊保护要求。对工业控制系统主要增加的内容包括“室外控制设备防护”、“工业控制系统网络架构安全”、“拨号使用控制”、“无线使用控制”和“控制设备安全”等方面，针对工业控制系统实时性要求高的特点调整了“漏洞和风险管理”和“恶意代码防范管理”方面的要求。11.标准控制项的变化——通用要求安全要求类层面一级二级三级四级技术要求物理和环境安全7152223网络和通信安全7