等保2.0详细解读.ppt
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
等级保护工作流程
• 定级 • 备案 • 差距分析 • 建设整改 • 验收测评 • 定期复查
系统定级 信息系统运营使用单位按照《信息系统信息 安全等级保护定级指南》,确定信息系统安 全等级。有主管部门的,报主管部门审核批 准。在申报系统新建、改建、扩建立项时须 同时向立项审批部门提交定级报告。
系统备案 已运行的系统在安全保护等级确定后30日内 ,由其运营、使用单位到所在地设区的市级 以上公安机关办理备案手续。新建的系统, 在通过立项申请后30日内办理。
不合格
等保测评 选择第三方测评机构进行测评。其 中对于新建系统可在试运行阶段进
行测评。
提交报告 系统运营、使用单位向地级以上市公安机关报测评报告 。项目验收文档中也须含有测评报告。
合格
等保测评 定期选择第三方测评机构进行测评 。三级系统每年至少一次,四级系
统每半年至少一次。
不合格
定级、备案与复查
•信息系统安全保护等级的定级要素 • 确定受侵害的客体 • 公民 • 社会秩序、公共利益 • 国家安全 • 系统损害对客体的侵害程度 • 损害、严重损害、特别严重损害
等保2.0
• 在此输入您的封面副标题
什么是等保
• 根据《网络安全法》的规定,等级保护是我国信息安全保障的基本制度。 • 《网络安全法》第二十一条规定,国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制 度的要求,履行下列全保护义务:保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃 取、篡改。
• 基线要求类 • GB/T22239-2008 《信息安全技术 信息系统安全等级保护基本要求》 • GB/T20271-2006《信息系统通用安全技wenku.baidu.com要求》 • GB/T21052-2007《信息系统物理安全技术要求》
等保2.0主要标准
• 网络安全等级保护条例(总要求/上位文件) • 计算机信息系统安全保护等级划分标准(GB 17859-1999) (上位标准) • 网络安全等级保护实施指南(GB/TB25058)(修订中) • 网络安全等级保护定级指南(GB/TB22240)(修订中) • 网络安全等级保护基本要求(GB/T22239-2019) • 网络安全等级保护设计技术要求(GB/T25070-2019) • 网络安全等级保护测评要求(GBT28448-2019) • 网络安全等级保护测评过程指南(GBT28449-2018)
等保等级
• 第一级:用户自主保护级 • 信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共 利益。
• 第二级:系统审计保护级 • 信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成 损害,但不损害国家安全。
材料不齐
公安机关审核
定级不准
材料齐、定级准
颁发证书 公安机关颁发系统等级保护备案证书。
分析安全需求 对照等保有关规定和标准分析系统安全建设整改需求,可委 托安全服务机构、等保技术支持单位分析。对于整改项目, 还可委托测评机构通过等保测评、风险评估等方法分析整改 需求。
建设整改 根据需求制订建设整改方案,按照国家相关规范和技术 标准,使用符合国家有关规定,满足系统等级需 求,开展信息系统安全建设整改。
• 10、人的志向通常和他们的能力成正比例。2020/11/112020/11/112020/11/1111/11/2020 10:18:10 AM • 11、夫学须志也,才须学也,非学无以广才,非志无以成学。2020/11/112020/11/112020/11/11Nov-2011-Nov-20 • 12、越是无能的人,越喜欢挑剔别人的错儿。2020/11/112020/11/112020/11/11Wednesday, November 11, 2020 • 13、志不立,天下无可成之事。2020/11/112020/11/112020/11/112020/11/1111/11/2020
• 等保1.0指的是2007年的《信息安全等级保护管理办法》和2008年的《信息安全技术信息系统安全等级保护基本要 求》。
• 等保2.0将原来的标准《信息安全技术 信息系统安全等级保护基本要求》改为《信息安全技术 网络安全等级保护基本 要求》,并对旧有内容进行调整
等保相关国家标准族
• 安全等级类 • GB/T22240-2008 《信息安全技术 信息系统安全保护等级保护定级指南》
•控制点和要求项变化
通用要求分类
控制点对比
详细要求项对比
等保解决方案示例(深信服)
• 9、春去春又回,新桃换旧符。在那桃花盛开的地方,在这醉人芬芳的季节,愿你生活像春天一样阳光,心情像桃花一样美丽,日子像桃子一样甜蜜。 2020/11/112020/11/11Wednesday, November 11, 2020
• 第三级:安全标记保护级 • 信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
• 第四级:结构化保护级 • 信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
• 第五级:访问验证保护级 • 信息系统受到破坏后,会对国家安全造成特别严重损害。
等保2.0测评变化
• 测评 • 及格分从60分改为75分
• 安全要求 •由“安全要求”改为“安全通用要求和安全扩展要求” •新增扩展要求:云计算、移动互联网、物联网、工业控制、大数据安全
•评测周期
•由原先四级系统每半年需要复查一次改为三级以上系统一年复查一次
•要求分类精简
•把管理要求和通用要求纳入到技术要求中 •分类由10类改为8类
保护对象受到破坏时 受侵害的客体
公民、法人和其他组 织的合法权益
社会秩序、公共利益
国家安全
一般损 害
第一级
对客体的侵害程度
严重损害
特别严重损害
第二级
第三级
第二级 第三级
第三级 第四级
第四级 第五级
•已运营(运行)或新建的第二级以上信息系统,应当在安全保护等级确定后30日内,由其运营、使用单位到所在地设区的 市级以上公安机关办理备案手续。
• 方法指导类 • GB/T25058-2010《信息安全技术 信息系统安全等级保护实施指南》 • GB/T25070-2010《信息系统等级保护安全设计技术要求》等
• 状况分析类 • GB/T28448-2012《信息安全技术 信息系统安全等级保护测评要求》 • GB/T28449-2012《信息安全技术 信息系统安全等级保护测评过程指南》等