等级保护新标准介绍PowerPoint 演示文稿
合集下载
新时代-等级保护2.0安全解决方案ppt课件
三.技术和理论创新
按照“一个中心、三重防护”的总体 思路 开展网络安全技术设计
确立了可信计算技术的重要地位, 结合人工智能、密码保护、生物识 别、大数据分 析等高端技术,落实 网络安全管理要求、 技术要求、测 评要求、设计要求等。
8
THE BUSENESS PLAN
等级保护2.0安全保护实践
9
安
全 观 新标准
国家新标准出台并实施。
没有网络安全就没有国家安全 5
新时期国家网络安全等级保护制度的鲜明特点
一.两个全覆盖
一是覆盖各地区、各单位、各部门、 各企 业、各机构,即是覆盖全社会。
二是覆盖所有保护对象,包括网络、 信息 系统、信息,以及云平台、物 联网、工控系 统、大数据、移动互 联等各类新技术应用
《网络安全等级保护测评 要求》
GB/T 28448--2019
4
等级保护进入2.0时代典型标志
新
时 代
网络安全法
《网络安全法》规定“国家实行网络安全 等级保护制度”。标志 了等级保护制度的 法律地位。
的
网
络
新条例
公安部会同中央网信办、国家保密局和国 家密码管理局,联合起草 并上报了《网络安全等级保护条例》(草案)。
上网行为管理
管理区
管理区FW
接入区
接入用 户
接入用 户
接入用 户
运维审计系统 网络管理系统 日志审计系统 漏洞扫描系统 终端安全准 入系统
态势感知 CIS
13
THE BUSENESS PLAN
新等级保护差异变化
14
网络安全等级保护2.0-主要标准
等保 2.0
国家标准GB/T 22239—2008《信息安全技术 信息系统安全等级保护基本要求》在开展信息安全等级保护工作的过程 中起到了非常重要的作用,被广泛应用于各个行业和领域开展信息安全等级保护的建设整改和等级测评等工作,但是随 着信息技术的发展,GB/T 22239—2008在时效性、易用性、可操作性上需要进一步完善。 为了适应移动互联、云计算、大数据、物联网和工业控制等新技术、新应用情况下信息安全等级保护工作的开展,需对 GB/T 22239—2008进行修订,修订的思路和方法是针对移动互联、云计算、大数据、物联网和工业控制等新技术、 新应用领域提出扩展的安全要求。
等级保护新标准(2.0)介绍PPT
等级保护2.0标准体系
等保1.0 等保2.0
GB 17859-1999 《计算机信息系统安全保护等
级划分准则》
《《《《《《
信 息 系 统 安 全 等 级 保 护 定 级 指 南 》
信 息 系 统 安 全 等 级 保 护 基 本 要 求 》
信 息 系 统 安 全 等 级 保 护 实 施 指 南 》
信 息 系 统 等 级 保 护 安 全 设 计 技 术 要 求
等级保护新标准(2.0)介绍
1
等级保护发展历程与展望
2
等级保护2.0标准体系
3
等级保护2.0基本要求解析
4
等级保护2.0扩展要求解析
等级保护发展历程与展望
等保1.0 等保2.0
时代
工作
展望
19942003 政策环境 2004- 营造 2006 工作开展 准备 20072010 工作正式 2010- 启动 2016 工作规模 推进
信 息 系 统 安 全 等 级 保 护 测 评 要 求 》
信 息 系 统 安 全 等 级 保 护 测 评 过 程 指 南
》
》
等级保护2.0标准体系
等保1.0 等保2.0
正式更名 为网络安 全等级保 护标准;
横向扩展 了对云计 算、移动 互联网、 物联网、 工业控制 系统的安 全要求;
纵向扩展 了对等保 测评机构 的规范管 理。
等级保护发展历程与展望
等保1.0 等保2.0
时代
工作
展望
等级保护2.0时代,将根据信息技术发展应用和网络安全态
势,不断丰富制度内涵、拓展保护范围、完善监管措施,逐步
健全网络安全等级保护制度政策、标准和支撑体系。
等级保护上升为法律
等级保护宣讲 ppt课件
等级保护交流
汇报人:
CONTENTS
背景知识 1
3 等级保护政策标准 2
4
等级保护流程 等级保护解决方案
PPT模板下载: 行业PPT模板:
节日PPT模板:
PPT素材下载:
PPT背景图片: PPT图表下载:
优秀PPT下载: PPT教程:
W ord教程:
Excel教程:
资料下载:
PPT课件下载:
范文下载:
利用等级保护 开展安全工作 是国家的唯一选择
政策支撑
①等级保护制度是所有 安全中发文次数最多最 权威的制度,22年历 史; ②等级保护是唯一建立 系列标准覆盖实施落地 全流程,并向云移工扩 展的安全管理要求。
执行队伍
① 建立由中央、省、 市、县四级的网络 警察队伍,警察的 执行力度在所有国 家机关中最强。 ②全国133家测评 中心的技术支撑单 位;
高端手法:信息安全集成(等级保护)独立运作
为什么选择等级保护? 1、国家政策 2、安全不是产品的简单堆积,也不是一次性的静态过程,它是
人员、技术、操作三者紧密结合的系统工程,是不断演进、循环 发展的动态过程
3、信息安全是一把手工程,信息安全是全员工程,信息安全工 作是三分技术、七分管理。
高层牵头 领导负责 全员参与
1 背景知识
用户开展等级保护建设的意义
安全建设体系化
以等级保护为标准开展安全 建设,让安全建设更加体系 化,可以从物理、网络、主 机、应用和数据多个方面成 体系的进行安全建设,再也 不是头痛医头脚痛医脚,对 本单位的安全建设有整体的 规划和思路。
安全 体系
责任 分担
责任更清晰
完成等保测评意味着公安机关 认可你的安全现状,一旦发生 安全事件是意外。如果没有进 行等级保护测评意味着你没有 达到国家要求,一旦发生安全 事件要自己承担相关责任。
汇报人:
CONTENTS
背景知识 1
3 等级保护政策标准 2
4
等级保护流程 等级保护解决方案
PPT模板下载: 行业PPT模板:
节日PPT模板:
PPT素材下载:
PPT背景图片: PPT图表下载:
优秀PPT下载: PPT教程:
W ord教程:
Excel教程:
资料下载:
PPT课件下载:
范文下载:
利用等级保护 开展安全工作 是国家的唯一选择
政策支撑
①等级保护制度是所有 安全中发文次数最多最 权威的制度,22年历 史; ②等级保护是唯一建立 系列标准覆盖实施落地 全流程,并向云移工扩 展的安全管理要求。
执行队伍
① 建立由中央、省、 市、县四级的网络 警察队伍,警察的 执行力度在所有国 家机关中最强。 ②全国133家测评 中心的技术支撑单 位;
高端手法:信息安全集成(等级保护)独立运作
为什么选择等级保护? 1、国家政策 2、安全不是产品的简单堆积,也不是一次性的静态过程,它是
人员、技术、操作三者紧密结合的系统工程,是不断演进、循环 发展的动态过程
3、信息安全是一把手工程,信息安全是全员工程,信息安全工 作是三分技术、七分管理。
高层牵头 领导负责 全员参与
1 背景知识
用户开展等级保护建设的意义
安全建设体系化
以等级保护为标准开展安全 建设,让安全建设更加体系 化,可以从物理、网络、主 机、应用和数据多个方面成 体系的进行安全建设,再也 不是头痛医头脚痛医脚,对 本单位的安全建设有整体的 规划和思路。
安全 体系
责任 分担
责任更清晰
完成等保测评意味着公安机关 认可你的安全现状,一旦发生 安全事件是意外。如果没有进 行等级保护测评意味着你没有 达到国家要求,一旦发生安全 事件要自己承担相关责任。
等级保护宣讲-ppt课件
第五阶段:由于公安的强势管理和重视安全的企业的自我觉醒,民企发现,做安全,除等保外没有别的选择。
部委
省厅单位
三甲医院、高校、央企 省属国企、大金融、运营商
地级市委办局、县委办局、普教 普通医院、市属国企、其他事业单位
民营企业包括:互联网、电子商务、小金融、 物流、具有品牌影响力的公司和其他规模公司
目前,全国范围内正在处于第三阶段,落后地区第二阶段还只完成部分,发达地区已经尝试从第三阶段迈入第四第五阶段。
1
背景知识
用户开展等级保护建设的意义
安全体系
责任分担
以等级保护为标准开展安全建设,让安全建设更加体系化,可以从物理、网络、主机、应用和数据多个方面成体系的进行安全建设,再也不是头痛医头脚痛医脚,对本单位的安全建设有整体的规划和思路。
安全建设体系化
责任更清晰
完成等保测评意味着公安机关认可你的安全现状,一旦发生安全事件是意外。如果没有进行等级保护测评意味着你没有达到国家要求,一旦发生安全事件要自己承担相关责任。
3
等保工作
3
等保工作
等保 工作
新系统上线、网络架构调整时,都要再重新做等保规划建设; 等保建设是持续性的,每年测评只要有问题,就要做整改。
等级保护建设中的角色
公安机关备案的测评机构
主要承担系统测评的工作,只有在当地公安机关备案的测评机构才可以开展测评工作。
集成商、安全厂商
根据咨询服务单位提供的整改方案,要采购相应的安全设备和服务,这些内容由集成商和安全厂商提供。
3
等保工作
等级保护的等级划分
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益; 第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全; 第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害; 第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害; 第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
部委
省厅单位
三甲医院、高校、央企 省属国企、大金融、运营商
地级市委办局、县委办局、普教 普通医院、市属国企、其他事业单位
民营企业包括:互联网、电子商务、小金融、 物流、具有品牌影响力的公司和其他规模公司
目前,全国范围内正在处于第三阶段,落后地区第二阶段还只完成部分,发达地区已经尝试从第三阶段迈入第四第五阶段。
1
背景知识
用户开展等级保护建设的意义
安全体系
责任分担
以等级保护为标准开展安全建设,让安全建设更加体系化,可以从物理、网络、主机、应用和数据多个方面成体系的进行安全建设,再也不是头痛医头脚痛医脚,对本单位的安全建设有整体的规划和思路。
安全建设体系化
责任更清晰
完成等保测评意味着公安机关认可你的安全现状,一旦发生安全事件是意外。如果没有进行等级保护测评意味着你没有达到国家要求,一旦发生安全事件要自己承担相关责任。
3
等保工作
3
等保工作
等保 工作
新系统上线、网络架构调整时,都要再重新做等保规划建设; 等保建设是持续性的,每年测评只要有问题,就要做整改。
等级保护建设中的角色
公安机关备案的测评机构
主要承担系统测评的工作,只有在当地公安机关备案的测评机构才可以开展测评工作。
集成商、安全厂商
根据咨询服务单位提供的整改方案,要采购相应的安全设备和服务,这些内容由集成商和安全厂商提供。
3
等保工作
等级保护的等级划分
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益; 第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全; 第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害; 第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害; 第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
等级保护新标准(2.0)介绍【优质PPT】
• 2016年11月7日,《中华人民共和国网络安全法》正式颁布,第二十一条明确“国家实行网络安全 等Fra bibliotek保护制度……”
• 以《GB17859 计算机信息系统安全保护等级划分准则 》、《GB/T22239-2008 信息安全技术 信 息系统安全等级保护基本要求 》为代表的等级保护系列配套标准,习惯称为等保1.0标准。
• 2003年,中央办公厅、国务院办公厅颁发《国家信息化领导小组关于加强信息安全保障工作的意 见》(中办发[2003]27号)明确指出“实行信息安全等级保护”。
• 2004-2006年,公安部联合四部委开展涉及65117家单位,共115319个信息系统的等级保护基础 调查和等级保护试点工作,为全面开展等级保护工作奠定基础。
4
等级保护发展历程与展望
等级保护2.0时代,将根据信息技术发展应用和网络安全态势,不断丰富制度内涵、拓展保护范围、完善监 管措施,逐步健全网络安全等级保护制度政策、标准和支撑体系。
等级保护上升为法律
《中华人民共和国网络安全法》第21条规定“国家实行 网络安全等级保护制度”,要求“网络运营者应当按照网络 安全等级保护制度要求,履行安全保护义务”;第31条规定 “对于国家关键信息基础设施,在网络安全等级保护制度的 基础上,实行重点保护”。
5
1
等级保护发展历程与展望
2
等级保护2.0标准体系
√
3
等级保护2.0基本要求解析
4
等级保护2.0扩展要求解析
2021/5/27
6
等级保护2.0标准体系
GB 17859-1999 《计算机信息系统安全保护等级划分准则》
《《《《《《
信 息 系 统 安 全 等 级 保 护 定 级 指 南 》
• 以《GB17859 计算机信息系统安全保护等级划分准则 》、《GB/T22239-2008 信息安全技术 信 息系统安全等级保护基本要求 》为代表的等级保护系列配套标准,习惯称为等保1.0标准。
• 2003年,中央办公厅、国务院办公厅颁发《国家信息化领导小组关于加强信息安全保障工作的意 见》(中办发[2003]27号)明确指出“实行信息安全等级保护”。
• 2004-2006年,公安部联合四部委开展涉及65117家单位,共115319个信息系统的等级保护基础 调查和等级保护试点工作,为全面开展等级保护工作奠定基础。
4
等级保护发展历程与展望
等级保护2.0时代,将根据信息技术发展应用和网络安全态势,不断丰富制度内涵、拓展保护范围、完善监 管措施,逐步健全网络安全等级保护制度政策、标准和支撑体系。
等级保护上升为法律
《中华人民共和国网络安全法》第21条规定“国家实行 网络安全等级保护制度”,要求“网络运营者应当按照网络 安全等级保护制度要求,履行安全保护义务”;第31条规定 “对于国家关键信息基础设施,在网络安全等级保护制度的 基础上,实行重点保护”。
5
1
等级保护发展历程与展望
2
等级保护2.0标准体系
√
3
等级保护2.0基本要求解析
4
等级保护2.0扩展要求解析
2021/5/27
6
等级保护2.0标准体系
GB 17859-1999 《计算机信息系统安全保护等级划分准则》
《《《《《《
信 息 系 统 安 全 等 级 保 护 定 级 指 南 》
等级保护相关标准解读-PPT精品
通过信息系统的定级,国家掌握了重要信 息系统在全国范围内的分布、使用情况以 及其重要程度。
在定级基础上,应开展信息系统安全建设 和整改,达到相应等级的安全防护能力。
二、等级保护相关标准解读
需要了解的几个法规、政策
保护环境框架图
审计子系统是系统的监督 中枢,安全审计员通过制定审 计策略,强制实现对整个信息 系统的行为审计,确保用户无 法抵赖违背系统安全策略的行 为,同时为应急处理提供依据。
保护环境框架图
主要流程
安全管理流程
几个与等级保护有关的标志性政策、文件:
《中华人民共和国计算机信息系统安全保护条例》(147号令) 《国家信息化领导小组关于加强信息安全保障工作的意见》 (中办发[2019]27号)。
《关于信息安全等级保护工作的实施意见》(公通字 [2019]66号)
《信息安全等级保护管理办法》(公通字[2019]43号)
第四级 结构化保护级 第五级 访问验证保护级
自主访问控制 身份鉴别 完整性保护
系统审计 客体重用
强制访问控制 标记
隐蔽通道分析 可信路径
自主访问控制 身份鉴别 完整性保护
系统审计 客体重用
强制访问控制 标记
隐蔽通道分析 可信路径
可信恢复
12
《信息系统安全等级保护基本要求》的定位
安全管理流程主要由安全管理中心的安全管理员 系统管理员和系统审计员实施,分别实施系统维 护、安全策略部署和审计策略部署等机制。
访问控制流程
访问控制流程是在系统运行时执行,实施自主访 问控制、强制访问控制等。
定级系统互联件连或移和接动系部功进护的统件。能出计软组的安算件成部全机以,分计系安算信统及也,统算一全环网外可。对环管管境络部以安境理理、上设是跨全的的中安的定独备级计信设心全安安立及系全算息施是区全统的其互安。环进对策域联全部境行部略边管件理保及署与界中在机和心安制安全实全计施通
在定级基础上,应开展信息系统安全建设 和整改,达到相应等级的安全防护能力。
二、等级保护相关标准解读
需要了解的几个法规、政策
保护环境框架图
审计子系统是系统的监督 中枢,安全审计员通过制定审 计策略,强制实现对整个信息 系统的行为审计,确保用户无 法抵赖违背系统安全策略的行 为,同时为应急处理提供依据。
保护环境框架图
主要流程
安全管理流程
几个与等级保护有关的标志性政策、文件:
《中华人民共和国计算机信息系统安全保护条例》(147号令) 《国家信息化领导小组关于加强信息安全保障工作的意见》 (中办发[2019]27号)。
《关于信息安全等级保护工作的实施意见》(公通字 [2019]66号)
《信息安全等级保护管理办法》(公通字[2019]43号)
第四级 结构化保护级 第五级 访问验证保护级
自主访问控制 身份鉴别 完整性保护
系统审计 客体重用
强制访问控制 标记
隐蔽通道分析 可信路径
自主访问控制 身份鉴别 完整性保护
系统审计 客体重用
强制访问控制 标记
隐蔽通道分析 可信路径
可信恢复
12
《信息系统安全等级保护基本要求》的定位
安全管理流程主要由安全管理中心的安全管理员 系统管理员和系统审计员实施,分别实施系统维 护、安全策略部署和审计策略部署等机制。
访问控制流程
访问控制流程是在系统运行时执行,实施自主访 问控制、强制访问控制等。
定级系统互联件连或移和接动系部功进护的统件。能出计软组的安算件成部全机以,分计系安算信统及也,统算一全环网外可。对环管管境络部以安境理理、上设是跨全的的中安的定独备级计信设心全安安立及系全算息施是区全统的其互安。环进对策域联全部境行部略边管件理保及署与界中在机和心安制安全实全计施通
《等级保护培训》课件
意义
通过实施等级保护,可以有效地 保障国家安全、社会秩序和公共 利益,维护公民、法人和其他组 织的合法权益。
等级保护的重要性
保障国家安全
等级保护制度能够确保关键信息 基础设施的安全,防止敌对势力 、间谍机构等对国家安全造成威
胁。
维护社会秩序
通过实施等级保护,可以防止网络 犯罪、网络攻击等行为,维护社会 秩序的稳定。
提出了加强宣传教育、开展培训等措施,以提高全社会的等级保护意识和能力。
完善法律法规和标准体系,加强监督检查和评估
提出了完善相关法律法规和标准体系、加强监督检查和评估等措施,以保障等级保护工作 的有效实施。
加强技术研发和创新,提高安全防护能力
提出了加强技术研发和创新、推广新技术应用等措施,以提高安全防护能力和应对新威胁 的能力。
THANKS
谢谢
等级保护标准的实施
等级保护标准的实施需要采取一系列的安全措施和技术手段,包括 物理安全、网络安全、应用安全等方面的防护措施。
等级保护政策
等级保护政策定义
01
等级保护政策是国家为了保障信息安全而制定的一系列政策,
用于规范不同等级的信息系统安全保护工作。
等级保护政策的主要内容
02
包括信息系统定级、备案、安全监测、通报预警等方面的政策
安全体系实施
按照安全体系设计的要求,实施安全设备和安全控制措施。 对实施过程进行监督和检查,确保安全设备和控制措施的有效性和合规性。
安全体系运行与维护
对信息系统的安全体系进行日常运行 和维护,包括安全监控、日志审计、 漏洞扫描等方面的操作。
对发现的安全问题和隐患进行及时处 理和修复,确保信息系统的安全性得 到持续保障。
安全策略制定
通过实施等级保护,可以有效地 保障国家安全、社会秩序和公共 利益,维护公民、法人和其他组 织的合法权益。
等级保护的重要性
保障国家安全
等级保护制度能够确保关键信息 基础设施的安全,防止敌对势力 、间谍机构等对国家安全造成威
胁。
维护社会秩序
通过实施等级保护,可以防止网络 犯罪、网络攻击等行为,维护社会 秩序的稳定。
提出了加强宣传教育、开展培训等措施,以提高全社会的等级保护意识和能力。
完善法律法规和标准体系,加强监督检查和评估
提出了完善相关法律法规和标准体系、加强监督检查和评估等措施,以保障等级保护工作 的有效实施。
加强技术研发和创新,提高安全防护能力
提出了加强技术研发和创新、推广新技术应用等措施,以提高安全防护能力和应对新威胁 的能力。
THANKS
谢谢
等级保护标准的实施
等级保护标准的实施需要采取一系列的安全措施和技术手段,包括 物理安全、网络安全、应用安全等方面的防护措施。
等级保护政策
等级保护政策定义
01
等级保护政策是国家为了保障信息安全而制定的一系列政策,
用于规范不同等级的信息系统安全保护工作。
等级保护政策的主要内容
02
包括信息系统定级、备案、安全监测、通报预警等方面的政策
安全体系实施
按照安全体系设计的要求,实施安全设备和安全控制措施。 对实施过程进行监督和检查,确保安全设备和控制措施的有效性和合规性。
安全体系运行与维护
对信息系统的安全体系进行日常运行 和维护,包括安全监控、日志审计、 漏洞扫描等方面的操作。
对发现的安全问题和隐患进行及时处 理和修复,确保信息系统的安全性得 到持续保障。
安全策略制定
等保2.0标准介绍ppt课件
病原体侵入机体,消弱机体防御机能 ,破坏 机体内 环境的 相对稳 定性, 且在一 定部位 生长繁 殖,引 起不同 程度的 病理生 理过程
目录
1 概述
2 安全通用要求 3 云计算安全扩展要求 4 移动互联安全扩展要求 5 物联网安全扩展要求 6 工业控制安全要求
病原体侵入机体,消弱机体防御机能 ,破坏 机体内 环境的 相对稳 定性, 且在一 定部位 生长繁 殖,引 起不同 程度的 病理生 理过程
选择
安全运维 管理
环境管理
资产管理
介质管理
设备维护管理 漏洞和风险 管理 网络和系统 安全管理
恶意代码防范 管理
配置管理
密码管理
变更管理 备份与恢复
管理 安全事件处置 应急预案管理
外包运维管理
病原体侵入机体,消弱机体防御机能 ,破坏 机体内 环境的 相对稳 定性, 且在一 定部位 生长繁 殖,引 起不同 程度的 病理生 理过程
病原体侵入机体,消弱机体防御机能 ,破坏 机体内 环境的 相对稳 定性, 且在一 定部位 生长繁 殖,引 起不同 程度的 病理生 理过程
新增领域标准
云计算安全
物联网安全
工业控制安全
大数据安全
移动互联安全
病原体侵入机体,消弱机体防御机能 ,破坏 机体内 环境的 相对稳 定性, 且在一 定部位 生长繁 殖,引 起不同 程度的 病理生 理过程
数据完整性 数据保密性 数据备份恢复 剩余信息保护 个人信息保护
病原体侵入机体,消弱机体防御机能 ,破坏 机体内 环境的 相对稳 定性, 且在一 定部位 生长繁 殖,引 起不同 程度的 病理生 理过程
GB/T 22239.1等级保护安全通用要求
安全管理中心 系统管理 审计管理 安全管理 集中管控
等级保护2.0讲解PPT【优质PPT】
1
8 温湿度控制
1
9 电力供应
4
9 电力供应
3
10 电磁防护
3
10 电磁防护
2
原控制项
新控制项
b) 机房场地应避免设在建筑物的高层
物理位置的选择
或地下室,以及用水设备的下层或隔 壁。
物理位置的 选择
b) 机房场地应避免设在建筑物的顶层或 地下室,否则应加强防水和防潮措施
防静电
无
防静电
b) 应采取措施防止静电的产生,例如采 用静电消除器、佩戴防静电手环等。
技术 要求
基本要求子类
物理安全 网络安全
信息系统安全等级保护 级别
等保二级 等保三级
19
32
18
33
主机安全
19
32
应用安全
19
31
数据安全
4
8
管理 安全管理制度
7
11
要求
安全管理机构
9
20
人员安全管理
11
16
系统建设管理
28
45
系统运维管理
41
62
合计
/
175
290
基本 要求 大类 2.0
技术 要求
等级保护2.0介绍
什么是等级保护?
网络安全等级保护是指对国家重要信息、法人和其他组织及公民的 专有信息以及公开信息和存储、传输、处理这些信息的信息系统分 等级实行安全保护,对信息系统中使用的信息安全产品实行按等级 管理,对信息系统中发生的信息安全事件分等级响应、处置。
等级保护的划分
第一级 信息系统受到破坏后,会对公民、法人和其他组织 的合法权益造成损害,但不损害国家安全、社会秩序和公 共利益
最新等级保护ppt课件
➢ 测评双方现场确认
准 料 测评所需的各种资
源
记 ➢ 被测单位签署现场 备 录 归 测评授权委托书
➢ 访谈 ➢ 文档审查 ➢ 配置检查 ➢ 工具测试 ➢ 实地查看
➢ 召开测评现场结束会, 确认测评过程的问题, 对漏掉的和改进的信息 进一步验证和补充测评
➢ 归还测评过程中借阅的 所有文档资料,并由被 测单位文档资料提供者 签字确认
定级对象识别与划分
• 可能使定级要素赋值不同因素 – 可能涉及不同客体的系统。 – 可能对客体造成不同程度损害的系统。 – 处理不同类型业务的系统。
• 本身运行在不同的网络环境中的系统。 • 分不开的系统,按照高级别保护。
两种安全定义
定级流程
S
A
G=MAX(S,A)
业务信息安全等级矩阵表
系统服务安全等级矩阵表
➢ 安全保障管理体系描述
析备
测测
等级保护实施流程
评对测工评具评 指 系统定级
备案
安全建 设整改
等级 测评
监督 检查
➢分析确定被测试系统的对象与指标
方 案
象测测接评 评入标 ➢使用漏洞扫描器、渗透测试工具集等测 试工具,网络拓扑内外部,及边界等位 置进行测试
编 制
确测点内指评确 容 导确
➢根据具体测评指标结合到测评对象上, 构成具体测评单元
➢ 针对单项测评的不符合项,采取逐条判定的 方法,从安全控制间、层面间和区域间触发 考虑,给出系统整体测评的具体结果和结论, 并对系统结构进行整体安全测评
➢ 在单项测评结果汇总分析和系统整体测评分 析的基础上,找出系统保护现状与等级保护 基本要求之间的差距,并形成等级测评结论
➢ 结果汇总分析、系统整体测评分析、综合结 论、改进建议和附录等
准 料 测评所需的各种资
源
记 ➢ 被测单位签署现场 备 录 归 测评授权委托书
➢ 访谈 ➢ 文档审查 ➢ 配置检查 ➢ 工具测试 ➢ 实地查看
➢ 召开测评现场结束会, 确认测评过程的问题, 对漏掉的和改进的信息 进一步验证和补充测评
➢ 归还测评过程中借阅的 所有文档资料,并由被 测单位文档资料提供者 签字确认
定级对象识别与划分
• 可能使定级要素赋值不同因素 – 可能涉及不同客体的系统。 – 可能对客体造成不同程度损害的系统。 – 处理不同类型业务的系统。
• 本身运行在不同的网络环境中的系统。 • 分不开的系统,按照高级别保护。
两种安全定义
定级流程
S
A
G=MAX(S,A)
业务信息安全等级矩阵表
系统服务安全等级矩阵表
➢ 安全保障管理体系描述
析备
测测
等级保护实施流程
评对测工评具评 指 系统定级
备案
安全建 设整改
等级 测评
监督 检查
➢分析确定被测试系统的对象与指标
方 案
象测测接评 评入标 ➢使用漏洞扫描器、渗透测试工具集等测 试工具,网络拓扑内外部,及边界等位 置进行测试
编 制
确测点内指评确 容 导确
➢根据具体测评指标结合到测评对象上, 构成具体测评单元
➢ 针对单项测评的不符合项,采取逐条判定的 方法,从安全控制间、层面间和区域间触发 考虑,给出系统整体测评的具体结果和结论, 并对系统结构进行整体安全测评
➢ 在单项测评结果汇总分析和系统整体测评分 析的基础上,找出系统保护现状与等级保护 基本要求之间的差距,并形成等级测评结论
➢ 结果汇总分析、系统整体测评分析、综合结 论、改进建议和附录等
等保安全定级介绍46页PPT
你的人生
71、既然我已经踏上这条道路,那么,任何东西都不应妨碍我沿着这条路走下去。——康德 72、家庭成为快乐的种子在外也不致成为障碍物但在旅行之际却是夜间的伴侣。——西塞罗 73、坚持意志伟大的事业需要始终不渝的精神。——伏尔泰 74、路漫漫其修道远,吾将上下而求索。——屈原 75、内外相应,言行相称。——韩非
等保安全定级介绍
56、死去何所道,托体同山阿。 57、春秋多佳日,登高赋新诗。 58、种豆南山下,草盛豆苗稀。晨兴 理荒秽 ,带月 荷锄归 。道狭 草木长 ,夕露 沾我衣 。衣沾 不足惜 ,但使 愿无违 。 59、相见无杂言,但道桑麻长。 60、迢迢新秋夕,亭亭月将圆。
谢谢你的阅读
71、既然我已经踏上这条道路,那么,任何东西都不应妨碍我沿着这条路走下去。——康德 72、家庭成为快乐的种子在外也不致成为障碍物但在旅行之际却是夜间的伴侣。——西塞罗 73、坚持意志伟大的事业需要始终不渝的精神。——伏尔泰 74、路漫漫其修道远,吾将上下而求索。——屈原 75、内外相应,言行相称。——韩非
等保安全定级介绍
56、死去何所道,托体同山阿。 57、春秋多佳日,登高赋新诗。 58、种豆南山下,草盛豆苗稀。晨兴 理荒秽 ,带月 荷锄归 。道狭 草木长 ,夕露 沾我衣 。衣沾 不足惜 ,但使 愿无违 。 59、相见无杂言,但道桑麻长。 60、迢迢新秋夕,亭亭月将圆。
谢谢你的阅读
等级保护新标准 介绍58页PPT
等级保护新标准 介绍
56、极端的法规,就是极端的不公。 ——西 塞罗 57、法律一旦成为人们的需要,人们 就不再 配享受 自由了 。—— 毕达哥 拉斯 58、法律规定的惩罚不是为了私人的 利益, 而是为 了公共 的利益 ;一部 分靠有 害的强 制,一 部分靠 榜样的 效力。 ——格 老秀斯 59、假如没有法律他们会更快乐的话 ,那么 法律作 为一件 无用之 物自己 就会消 灭。— —洛克
60、人民的幸福是至高已接受最坏的,就再没有什么损失。——卡耐基 47、书到用时方恨少、事非经过不知难。——陆游 48、书籍把我们引入最美好的社会,使我们认识各个时代的伟大智者。——史美尔斯 49、熟读唐诗三百首,不会作诗也会吟。——孙洙 50、谁和我一样用功,谁就会和我一样成功。——莫扎特
56、极端的法规,就是极端的不公。 ——西 塞罗 57、法律一旦成为人们的需要,人们 就不再 配享受 自由了 。—— 毕达哥 拉斯 58、法律规定的惩罚不是为了私人的 利益, 而是为 了公共 的利益 ;一部 分靠有 害的强 制,一 部分靠 榜样的 效力。 ——格 老秀斯 59、假如没有法律他们会更快乐的话 ,那么 法律作 为一件 无用之 物自己 就会消 灭。— —洛克
60、人民的幸福是至高已接受最坏的,就再没有什么损失。——卡耐基 47、书到用时方恨少、事非经过不知难。——陆游 48、书籍把我们引入最美好的社会,使我们认识各个时代的伟大智者。——史美尔斯 49、熟读唐诗三百首,不会作诗也会吟。——孙洙 50、谁和我一样用功,谁就会和我一样成功。——莫扎特
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
等级保护工作内容将持续扩展
在定级、备案、建设整改、等级测评和监督检查等规定 动作基础上,2.0时代风险评估、安全监测、通报预警、案 事件调查、数据防护、灾难备份、应急处置、自主可控、 供应链安全、效果评价、综治考核等这些与网络安全密切 相关的措施都将全部纳入等级保护制度并加以实施。
等级保护对象将不断拓展
3
等级保护发展历程与展望
等保1.0时代 等保2.0工作
展望
重要标志
2.0系列标 准编制工作
• 2016年10月10日,第五届全国信息安全等级保护技术大召开,公安部网络安全保卫局郭启全总工 指出“国家对网络安全等级保护制度提出了新的要求,等级保护制度已进入2.0时代”。
• 2016年11月7日,《中华人民共和国网络安全法》正式颁布,第二十一条明确“国家实行网络安全 等级保护制度……”
• 2003年,中央办公厅、国务院办公厅颁发《国家信息化领导小组关于加强信息安全保障工作的意 见》(中办发[2003]27号)明确指出“实行信息安全等级保护”。
2004-2006 工作开展准备
• 2004-2006年,公安部联合四部委开展涉及65117家单位,共115319个信息系统的等级保护基础 调查和等级保护试点工作,为全面开展等级保护工作奠定基础。
信 息 系 统 安 全 等 级 保 护 实 施 指 南 》
信 息 系 统 等 级 保 护 安 全 设 计 技 术 要 求
信 息 系 统 安 全 等 级 保 护 测 评 要 求 》
信 息 系 统 安 全 等 级 保 护 测 评 过 程 指 南
》
》
7
等级保护2.0标准体系
等保1.0
等保2.0
正式更名为网 络安全等级保 护标准;
• 2017年1月至2月,全国信息安全标准化技术委员会发布《 网络安全等级保护基本要求》系列标准 、《 网络安全等级保护测评要求 》系列标准等“征求意见稿”。
• 2017年5月,国家公安部发布《GA/T 1389—2017 网络安全等级保护定级指南》、《GA/T 1390.2—2017 网络安全等级保护基本要求 第 2 部分:云计算安全扩展要求》等4个公共安全行业 等级保护标准。
• 以《GB17859 计算机信息系统安全保护等级划分准则 》、《GB/T22239-2008 信息安全技术 信 息系统安全等级保护基本要求 》为代表的等级保护系列配套标准,习惯称为等保1.0标准。
• 2013年,全国信息安全标准化技术委员会授权WG5-信息安全评估工作组开始启动等级保护新标 准的研究。
2007-2010 工作正式启动
2010-2016 工作规模推进
• 2007年6月,四部门联合出台《信息安全等级保护管理办法》。 • 2007年7月,四部门联合颁布《关于开展全国重要信息系统安全等级保护定级工作的通知》。 • 2007年7月20日,召开全国重要信息系统安全等级保护定级工作部署专题电视电话会议,标志着信
横向扩展了对 云计算、移动 互联网、物联 网、工业控制 系统的安全要 求;
纵向扩展了对 等保测评机构 的规范管理。
( 注 : 基 于 2017 年等级保护标准系 列征求意见稿)
未变化
修订内容
新增
8
等级保护2.0标准体系
等保1.0
等保2.0
公安部已于2017年5月率先发布《网络安全等级保护定级指南》、《网络安全等级保护基本要求 第5部分:工业 控制系统安全扩展要求》等4个行业标准。
息安全等级保护制度正式开始实施。
• 2010年4月,公安部出台《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》 ,提出等级保护工作的阶段性目标。
• 2010年12月,公安部和国务院国有资产监督管理委员会联合出台《关于进一步推进中央企业信息 安全等级保护工作的通知》,要求中央企业贯彻执行等级保护工作。
4
等级保护发展历程与展望
等保1.0时代 等保2.0工作
展望
等级保护2.0时代,将根据信息技术发展应用和网络安全态势,不断丰富制度内涵、拓展保护范围、完善监 管措施,逐步健全网络安全等级保护制度政策、标准和支撑体系。
等级保护上升为法律
《中华人民共和国网络安全法》第21条规定“国家实行 网络安全等级保护制度”,要求“网络运营者应当按照网络 安全等级保护制度要求,履行安全保护义务”;第31条规定 “对于国家关键信息基础设施,在网络安全等级保护制度的 基础上,实行重点保护”。
GA/T 1389—2017《信息安全技术 网络安全等级保护定级指南》
在国标《信息安全等级保护定级指南》的基础上细化优化了对客体侵害事项、侵害程度的定义,确定了对基础信息网络、工业控制 系统 、云计算平台 、物联网、采用移动互联技术的信息系统 、大数据等对象的定级原则,进一步明确了定级过程中专家审查、主管 部门审核、公安机关备案审查等节点的管理要求。
随着云计算、移动互联、大数据、物联网、人工智能 等新技术不断涌现,计算机信息系统的概念已经不能涵盖 全部,特别是互联网快速发展带来大数据价值的凸显,等 保保护对象的外延将不断拓展。
等级保护体系将进行重大升级
2.0时代,主管部门将继续制定出台一系列政策法规和 技术标准,形成运转顺畅的工作机制,在现有体系基础上 ,建立完善等级保护政策体系、标准体系、测评体系、技 术体系、服务体系、关键技术研究体系、教育训练体系等 。
5
1
等级保护发展历程与展望
2
等级保护2.0标准体系
3
等级保护2.0基本要求解析
4
等级保护2.0扩展要求解析
6
等级保护2.0标准体系
等保1.0
等保2.0
GB 17859-1999 《计算机信息系统安全保护等级划分准则》
《《《《《《
信 息 系 统 安 全 等 级 保 护 定 级 指 南 》
信 息 系 统 安 全 等 级 保 护 基 本 要 求 》
等级保护新标准(2.0)介绍1等级保护发展历程与展望
2
等级保护2.0标准体系
3
等级保护2.0基本要求解析
4
等级保护2.0扩展要求解析
2
等级保护发展历程与展望
等保1.0时代 等保2.0工作
展望
1994-2003 政策环境营造
• 1994年,国务院颁布《中华人民共和国计算机信息系统安全保护条例》,规定计算机信息系统实 行安全等级保护。
在定级、备案、建设整改、等级测评和监督检查等规定 动作基础上,2.0时代风险评估、安全监测、通报预警、案 事件调查、数据防护、灾难备份、应急处置、自主可控、 供应链安全、效果评价、综治考核等这些与网络安全密切 相关的措施都将全部纳入等级保护制度并加以实施。
等级保护对象将不断拓展
3
等级保护发展历程与展望
等保1.0时代 等保2.0工作
展望
重要标志
2.0系列标 准编制工作
• 2016年10月10日,第五届全国信息安全等级保护技术大召开,公安部网络安全保卫局郭启全总工 指出“国家对网络安全等级保护制度提出了新的要求,等级保护制度已进入2.0时代”。
• 2016年11月7日,《中华人民共和国网络安全法》正式颁布,第二十一条明确“国家实行网络安全 等级保护制度……”
• 2003年,中央办公厅、国务院办公厅颁发《国家信息化领导小组关于加强信息安全保障工作的意 见》(中办发[2003]27号)明确指出“实行信息安全等级保护”。
2004-2006 工作开展准备
• 2004-2006年,公安部联合四部委开展涉及65117家单位,共115319个信息系统的等级保护基础 调查和等级保护试点工作,为全面开展等级保护工作奠定基础。
信 息 系 统 安 全 等 级 保 护 实 施 指 南 》
信 息 系 统 等 级 保 护 安 全 设 计 技 术 要 求
信 息 系 统 安 全 等 级 保 护 测 评 要 求 》
信 息 系 统 安 全 等 级 保 护 测 评 过 程 指 南
》
》
7
等级保护2.0标准体系
等保1.0
等保2.0
正式更名为网 络安全等级保 护标准;
• 2017年1月至2月,全国信息安全标准化技术委员会发布《 网络安全等级保护基本要求》系列标准 、《 网络安全等级保护测评要求 》系列标准等“征求意见稿”。
• 2017年5月,国家公安部发布《GA/T 1389—2017 网络安全等级保护定级指南》、《GA/T 1390.2—2017 网络安全等级保护基本要求 第 2 部分:云计算安全扩展要求》等4个公共安全行业 等级保护标准。
• 以《GB17859 计算机信息系统安全保护等级划分准则 》、《GB/T22239-2008 信息安全技术 信 息系统安全等级保护基本要求 》为代表的等级保护系列配套标准,习惯称为等保1.0标准。
• 2013年,全国信息安全标准化技术委员会授权WG5-信息安全评估工作组开始启动等级保护新标 准的研究。
2007-2010 工作正式启动
2010-2016 工作规模推进
• 2007年6月,四部门联合出台《信息安全等级保护管理办法》。 • 2007年7月,四部门联合颁布《关于开展全国重要信息系统安全等级保护定级工作的通知》。 • 2007年7月20日,召开全国重要信息系统安全等级保护定级工作部署专题电视电话会议,标志着信
横向扩展了对 云计算、移动 互联网、物联 网、工业控制 系统的安全要 求;
纵向扩展了对 等保测评机构 的规范管理。
( 注 : 基 于 2017 年等级保护标准系 列征求意见稿)
未变化
修订内容
新增
8
等级保护2.0标准体系
等保1.0
等保2.0
公安部已于2017年5月率先发布《网络安全等级保护定级指南》、《网络安全等级保护基本要求 第5部分:工业 控制系统安全扩展要求》等4个行业标准。
息安全等级保护制度正式开始实施。
• 2010年4月,公安部出台《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》 ,提出等级保护工作的阶段性目标。
• 2010年12月,公安部和国务院国有资产监督管理委员会联合出台《关于进一步推进中央企业信息 安全等级保护工作的通知》,要求中央企业贯彻执行等级保护工作。
4
等级保护发展历程与展望
等保1.0时代 等保2.0工作
展望
等级保护2.0时代,将根据信息技术发展应用和网络安全态势,不断丰富制度内涵、拓展保护范围、完善监 管措施,逐步健全网络安全等级保护制度政策、标准和支撑体系。
等级保护上升为法律
《中华人民共和国网络安全法》第21条规定“国家实行 网络安全等级保护制度”,要求“网络运营者应当按照网络 安全等级保护制度要求,履行安全保护义务”;第31条规定 “对于国家关键信息基础设施,在网络安全等级保护制度的 基础上,实行重点保护”。
GA/T 1389—2017《信息安全技术 网络安全等级保护定级指南》
在国标《信息安全等级保护定级指南》的基础上细化优化了对客体侵害事项、侵害程度的定义,确定了对基础信息网络、工业控制 系统 、云计算平台 、物联网、采用移动互联技术的信息系统 、大数据等对象的定级原则,进一步明确了定级过程中专家审查、主管 部门审核、公安机关备案审查等节点的管理要求。
随着云计算、移动互联、大数据、物联网、人工智能 等新技术不断涌现,计算机信息系统的概念已经不能涵盖 全部,特别是互联网快速发展带来大数据价值的凸显,等 保保护对象的外延将不断拓展。
等级保护体系将进行重大升级
2.0时代,主管部门将继续制定出台一系列政策法规和 技术标准,形成运转顺畅的工作机制,在现有体系基础上 ,建立完善等级保护政策体系、标准体系、测评体系、技 术体系、服务体系、关键技术研究体系、教育训练体系等 。
5
1
等级保护发展历程与展望
2
等级保护2.0标准体系
3
等级保护2.0基本要求解析
4
等级保护2.0扩展要求解析
6
等级保护2.0标准体系
等保1.0
等保2.0
GB 17859-1999 《计算机信息系统安全保护等级划分准则》
《《《《《《
信 息 系 统 安 全 等 级 保 护 定 级 指 南 》
信 息 系 统 安 全 等 级 保 护 基 本 要 求 》
等级保护新标准(2.0)介绍1等级保护发展历程与展望
2
等级保护2.0标准体系
3
等级保护2.0基本要求解析
4
等级保护2.0扩展要求解析
2
等级保护发展历程与展望
等保1.0时代 等保2.0工作
展望
1994-2003 政策环境营造
• 1994年,国务院颁布《中华人民共和国计算机信息系统安全保护条例》,规定计算机信息系统实 行安全等级保护。