等保2.0时代,企业身份与访问合规
作者:星期二, 十月 20, 20200

等级保护制度是我国在网络安全领域的基本制度、基本国策,是国家网络安全意志的体现。而《网络安全法》的出台,更是将等级保护制度提升到了法律层面。

2019年12月,网络安全等级保护制度2.0(简称“等保2.0”)正式实施。等保2.0在1.0的基础上,更加注重全方位主动防御、动态防御、整体防控和精准防护,除基本要求外,还增加了对云计算、移动互联、物联网、工业控制和大数据等对象全覆盖。

等保2.0中和“身份与访问管理”相关的内容很多,如身份鉴别、可信验证、访问控制、安全审计、入侵防范等。在企业制定IT合规审计战略和目标的过程中,合理评估身份与访问管理相关组件的标准是否满足合规要求也是非常重要的一个环节。本文我们将简单介绍一些关于身份与访问管理相关的合规标准,希望对大家有所帮助。

身份与访问管理合规相关内容

企业成功实现身份与访问管理合规的第一步是详细了解其中的关键要素,并使之与企业的整体IT合规目标相匹配。身份与访问管理合规的关键组件必须融入企业整体的合规计划,并确保企业整体数据的隐私性、完整性、可用性和保密性。下面这张表格非常详细的地展示了身份与访问管理合规中的一些关键组件和详细描述:

等保2.0合规(等保三级)相关标准如下(表中标红部分为身份与访问控制相关的内容):

身份访问管理其他相关法规

除了国内的等保2.0的相关规定之外,很多国内和国际的法规也涉及身份和访问管理合规的内容,提供网络和信息化服务的私人或公共组织都需要满足相关要求,譬如:

  • 《网络安全法》:为了保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,制定的法律。
  • 《中华人民共和国密码法》:旨在规范密码应用和管理,促进密码事业发展,保障网络与信息安全,提升密码管理科学化、规范化、法治化水平,是我国密码领域的综合性、基础性法律。
    GDPR:欧盟通用数据保护条例,其中也涉及身份与访问管理相关合规的标准。
  • NIST-《NIST SP 800-63-3数字身份指南及其三个配套标准》——SP 800-63A、B和C:其中涉及针对联邦机构的身份与访问管理要求。NIST SP 800-53解决了针对联邦信息化系统和组织的信息化合规要求。
    国际标准化组织(ISO)相关标准:ISO 27000系列标准涉及身份与访问管理要求,并广泛用作审计基准。
  • PCI DSS:全球安全标准,专门解决金融卡片类经销商的身份与访问管理合规问题。

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章