等级保护制度是我国在网络安全领域的基本制度、基本国策，是国家网络安全意志的体现。而《网络安全法》的出台，更是将等级保护制度提升到了法律层面。

2019年12月，网络安全等级保护制度2.0（简称“等保2.0”）正式实施。等保2.0在1.0的基础上，更加注重全方位主动防御、动态防御、整体防控和精准防护，除基本要求外，还增加了对云计算、移动互联、物联网、工业控制和大数据等对象全覆盖。

等保2.0中和“身份与访问管理”相关的内容很多，如身份鉴别、可信验证、访问控制、安全审计、入侵防范等。在企业制定IT合规审计战略和目标的过程中，合理评估身份与访问管理相关组件的标准是否满足合规要求也是非常重要的一个环节。本文我们将简单介绍一些关于身份与访问管理相关的合规标准，希望对大家有所帮助。

企业成功实现身份与访问管理合规的第一步是详细了解其中的关键要素，并使之与企业的整体IT合规目标相匹配。身份与访问管理合规的关键组件必须融入企业整体的合规计划，并确保企业整体数据的隐私性、完整性、可用性和保密性。下面这张表格非常详细的地展示了身份与访问管理合规中的一些关键组件和详细描述：

等保2.0合规（等保三级）相关标准如下（表中标红部分为身份与访问控制相关的内容）：

除了国内的等保2.0的相关规定之外，很多国内和国际的法规也涉及身份和访问管理合规的内容，提供网络和信息化服务的私人或公共组织都需要满足相关要求，譬如：

• 《网络安全法》：为了保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展，制定的法律。
• 《中华人民共和国密码法》：旨在规范密码应用和管理，促进密码事业发展，保障网络与信息安全，提升密码管理科学化、规范化、法治化水平，是我国密码领域的综合性、基础性法律。
  GDPR：欧盟通用数据保护条例，其中也涉及身份与访问管理相关合规的标准。
• NIST-《NIST SP 800-63-3数字身份指南及其三个配套标准》——SP 800-63A、B和C：其中涉及针对联邦机构的身份与访问管理要求。NIST SP 800-53解决了针对联邦信息化系统和组织的信息化合规要求。
  国际标准化组织（ISO）相关标准：ISO 27000系列标准涉及身份与访问管理要求，并广泛用作审计基准。
• PCI DSS：全球安全标准，专门解决金融卡片类经销商的身份与访问管理合规问题。

玉符科技

玉符科技致力于为企业提供领先的身份认证云服务。 玉符IDaaS云平台，可为企业实现从身份数据集中管理、访问控制、账号生命周期管理、到安全审计的高效安全、自主可控、系统科学的企业身份信息管理。 玉符科技拥有多年的海外技术经验及成熟的实施，凭借自主研发的新一代身份管理云平台，可以帮助企业更好的应对云时代下复杂、繁琐的身份认证和权限管理，帮助企业降低成本、提升运维效率、增强业务协同性，进而提升企业身份数据的整体安全级别。 主要面向业务场景包括：企业身份信息集成及密码管理；不同类型人员在访问各类应用服务时，所产生的访问控制和策略管理；身份统一认证；企业不同应用间的账号同步，如人员自动入离职管控等。