等級保護制度是我國在網路安全領域的基本制度、基本國策，是國家網路安全意志的體現。而《網路安全法》的出臺，更是將等級保護制度提升到了法律層面。

2019年12月，網路安全等級保護制度2.0（簡稱“等保2.0”）正式實施。等保2.0在1.0的基礎上，更加註重全方位主動防禦、動態防禦、整體防控和精準防護，除基本要求外，還增加了對雲端計算、移動互聯、物聯網、工業控制和大資料等物件全覆蓋。

等保2.0中和“身份與訪問管理”相關的內容很多，如身份鑑別、可信驗證、訪問控制、安全審計、入侵防範等。在企業制定IT合規審計戰略和目標的過程中，合理評估身份與訪問管理相關元件的標準是否滿足合規要求也是非常重要的一個環節。本文我們將簡單介紹一些關於身份與訪問管理相關的合規標準，希望對大家有所幫助。

身份與訪問管理合規相關內容

企業成功實現身份與訪問管理合規的第一步是詳細瞭解其中的關鍵要素，並使之與企業的整體IT合規目標相匹配。身份與訪問管理合規的關鍵元件必須融入企業整體的合規計劃，並確保企業整體資料的隱私性、完整性、可用性和保密性。

下面這張表格非常詳細的地展示了身份與訪問管理合規中的一些關鍵元件和詳細描述：

等保2.0合規（等保三級）相關標準如下（表中標紅部分為身份與訪問控制相關的內容）：

身份訪問管理其他相關法規

除了國內的等保2.0的相關規定之外，很多國內和國際的法規也涉及身份和訪問管理合規的內容，提供網路和資訊化服務的私人或公共組織都需要滿足相關要求，譬如：

• 《網路安全法》

  ：為了保障網路安全，維護網路空間主權和國家安全、社會公共利益，保護公民、法人和其他組織的合法權益，促進經濟社會資訊化健康發展，制定的法律。

• 《中華人民共和國密碼法》：旨在規範密碼應用和管理，促進密碼事業發展，保障網路與資訊保安，提升密碼管理科學化、規範化、法治化水平，是我國密碼領域的綜合性、基礎性法律。

• GDPR：歐盟通用資料保護條例，其中也涉及身份與訪問管理相關合規的標準。

• NIST-《NIST SP 800-63-3數字身份指南及其三個配套標準》——SP 800-63A、B和C：其中涉及針對聯邦機構的身份與訪問管理要求。NIST SP 800-53解決了針對聯邦資訊化系統和組織的資訊化合規要求。

• 國際標準化組織（ISO）相關標準：ISO 27000系列標準涉及身份與訪問管理要求，並廣泛用作審計基準。

• PCI DSS：全球安全標準，專門解決金融卡片類經銷商的身份與訪問管理合規問題。

玉符科技作為企業級身份雲平臺開創者，著力研發的IDaaS平臺提供統一目錄、單點登入、賬號生命週期管理、多因素認證、安全審計等多種能力，能夠快速幫助企業打造統一的身份與訪問管理體系，滿足資訊化合規中涉及的身份鑑別、可信認證、訪問控制、入侵防範、安全審計等多種需求。