精选-信息安全-等级保护2.0政策解读

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息安全等级保护制度由公安部主导,自 主建设为主,执行力度不够
执行力度
《中华人民共和国网络安全法》 第二十一条 国家实行网络安全等级保护 制度
网络领域的基础性法律,并在法律层面确 立了等级保护在网络安全领域的基础、核 心地位,不做等保就是违法
等级保护对象
等保对象
2003年,中办国办《国家信息化领导小组关于加强 信息安全保障工作的意见》指出,要重点保护基础 信息网络和关系国家安全、经济命脉、社会稳定等 方面的重要信息系统 这个定义就是网络安全法中的关键信息基础设施, 从1.0到2.0等保核心依然没有改变
GB/T22240-2008,等级保护对象被定义为“信息安 全等级保护工作直接作用的具体信息和信息系统”
等保对象
新技术不断涌现,需要等保外延的拓展, 对象扩大到包含大型互联网企业、基础网络、重 要信息系统、网站、大数据中心、云计算平台、 物联网系统、移动互联网、工业控制系统、公众 服务平台等 技术发展以及《网络安全法》,《十三五国家信 息化规划》和《国家空间安全战略》相关要求, 看出安全内涵从信息安全和信息系统安全已上升 到全面网络空间的安全
国家安全
第二级 第三级
第二级 第三级 第四级
第三级 第四级 第五级
等保1.0 五个规定动作
定级 备案 建设整改 等保测评 监督检查
等级保护内容
等保2.0内容
等级保护对象定级与备案
协助定级 评审
协助备案
总体安全规划
需求分析 总体设计 建设方案规划
局部调整
安全设计与实施
整体实施方案设计 H3C安全产品全覆盖 等保技术实现 等保管理实现
等级保护定级
对客体的侵害程度
受侵害的客体
一般损害
严重损害
特别严重损害
公民、法人和其他 组织的合法权益
第一级
社会秩序、公共利 益
国家安全
第二级 第三级
第二级 第三级 第四级
第二级 第四级 第五级
对客体的侵害程度
受侵害的客体
一般损害
严重损害
特别严重损害
公民、法人和其他 组织的合法权益
第一级
社会秩序、公共利 益
理中心
备份与恢 复管理
外包软 件开发
云服 务商 选择
网络 安全 管理
安全 事件 处置
外部 人员 访问 管理
工程 实施
供应 链管 理
系统 安全 管理
应急 预案 管理
管理 要求
通过 制度 建设 与技 术辅 助方 式实 现
技术和管理要求扩展
技术要求
物理安全 网络安全 主机安全 应用安全 数据安全
管理要求
加大投入,开展工作绩效考核评价; ➢ 国家行业主管或监管部门应当设立或明确专门负责本行业、本领域关键信息基础设施安全保
护工作的机构和人员,编制并组织实施本行业、本领域的网络安全规划、建立健全工作经费 保障机制并督促落实。
关键信息基础设施不低于等级保护三级
关键信息基础设施认定标准
关键信息基础设施种 类
等保定级
依据国家等级保护制度监管的十六字方案要求:自主定级、专家 评审、主管部门审批和公安机关监督,补充和完善后的定级流程 为:1、确定定级对象;2、初步确定等级;3、专家评审;4、主 管部门审核;5、公安机关备案审查
网络安全法的立法宗旨是为了保障网络安全、维护网络空间主权 和国家安全、社会公共利益、保护公民,法人和其他组织的合法 权益。因此修订后的定级指南,三级定义为:“等级保护对象受 到破坏后,会对公民、法人和其他组织的合法权益产生特别严重 损害,或者对社会秩序和公共利益造成严重损害,或者对国家安 全造成损害”
管理类 信息系统安全管理要求 信息系统安全工程管理要求
其他管理类标准
产品类 操作系统安全技术要求 数据库管理系统安全技术要求 网络和终端设备隔离部件技术要求
其他产品类标准
计算机信息系统安全保护等级划分准则(GB17859)
网络 安全 等级 保护
2.0 系列 标准
《网络安全等级保护定级指南》
《网络安全等级保护实施指南》
基线要求
信息系统安全等级保护基本要求的行业细则
信息系统安全等级保护基本要求(GB/T 22239-2008)
GBT 25070-2010
指保安信 南护全息
实等系 施级统
技安等信 术全级息 要设保系 求计护统
GBT 25058-2010
技术类 信息系统通用安全技术要求 信息系统物理安全技术要求
网络基础安全技术要求 其他技术类标准
等级保护定级
等保定级
定级流程,GB/T22240-2008定级指南聚焦于如何从业务信息和 系统服务两个角度分析和确定定级对象的安全保护级别,并未完 整描述整个定级工作过程,在实际工作中可能导致备案单位缺漏 部分环节,影响定级结果的准确性
GB/T22240-2008定级指南中,将安全保护等级三级定义为:等 级保护对象受到破坏后,对社会秩序和公共利益造成严重损害, 或者对国家安全造成损害。因此,那些未对国家安全造成损害或 社会秩序和公共利益造成严重损害,但对法人或组织造成特别严 重损害的等级保护对象(如全国性集团公司的资金集中管理系统 ,大型互联网信息平台的统一运维管理系统等)将被确定为二级




授权和
沟通和
审核和


审批
合作
检查














安全意 识教育 和培训
系统 定级
安全 方案 设计
产品采购 和使用
测试 验收
系统 交付
系统 备案
等级 测评
环境 管理
资产 管理
介质 管理
设备 管理
恶意代
码防范 管理
密码 管理
变更 管理
自行软 件开发
安全服 务商选

监控管理 和安全管
《网络安全等级保护测评过程指南》
《网络安全等级保护测评评估技术指南》
《网络安全等级保护测评机构能力要求和评估规范》
2.0在1.0已有体系 基础上,进一步建 立完善等级保护政 策体系、标准体系、 测评体系、技术体 系、服务体系、关 键技术研究体系、 教育培训体系等, 等级保护作为核心, 围绕核心构建起安 全监测、通报预警、 快速处置、态势感 知、安全防范、精 确打击等一体的国 家关键信息基础设 施安全保卫体系
1)注册用户数超过1000万,或活跃用户(每 日至 少登陆一次)数超过100万。 2)日均成交订单额或交易额超过1000万元。 3)一旦发生网络安全事故,可能造成右边列 影响之一的。 4)其他应该认定为关键信息基础设施
1) 造成1000万元以上的直接经济损失; 2) 直接影响超过1000万人工作、生活; 3) 造成超过100万人个人信息泄露; 4) 造成大量机构、企业敏感信息泄露; 5) 造成大量地理、人口、资源等国家基础数据泄露; 6) 严重损害社会和经济秩序,或危害国家安全。
01 等保1.0与2.0对比 02 云等保标准解读 03 等保项目运作 04 传统等保我们怎么做 05 云等保我们怎么做 06 等保实践
等保1.0与2.0对比
网络安全法与等级保护
第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安 全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改: (一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任; (二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施; (三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月; (四)采取数据分类、重要数据备份和加密等措施; (五)法律、行政法规规定的其他义务。
《网络安全等级保护基本要求第1部分:安全通用要求》 《网络安全等级保护基本要求第2部分:云计算安全扩展要求》 《网络安全等级保护基本要求第3部分:移动互联安全扩展要求》 《网络安全等级保护基本要求第4部分:物联网安全扩展要求》 《网络安全等级保护基本要求第5部分:工业控制系统安全扩展要求》 《网络安全等级保护基本要求第6部分:大数据安全扩展要求》
网站类 平台类
生产业务类
认定标准
网络安全事件的潜在影响
1)县级(含)以上党政机关网站。 2)重点新闻网站。 3)日均访问量超过100万人次的网站。 4)一旦发生网络安全事故,可能造成右边列影 响 之一的。 5)其他应该认定为关键信息基础设施。
1) 影响超过100万人工作、生活; 2) 影响单个地市级行政区30%以上人口的工作、生活; 3) 造成 超过100万人个人信息泄露; 4) 造成大量机构、企业敏感信息泄露; 5) 造成大量地理、人口、资源等国家基础数据泄露; 6) 严重损 害政府形象、社会秩序,或危害国家安全。
等级保护2.0要求一览图
数据 安全
数据完整 性
数据保密 性
备份和恢 复
身访安
应用 份 问 全
技术 安全 鉴 控 审
要求
ቤተ መጻሕፍቲ ባይዱ
别制计
剩余 信息 保护
通 信 完 整 性
通 信 保 密 性
抗 抵 赖
软 件 容 错
资 源 控 制
接 口 安 全
通过
安全
产品
身访安
及技 主机 份 问 全
术方 安全 鉴 控 审
式实
别制计
剩余 信息 保护
入 侵 防 范
恶意 代码 防范
资 源 控 制
镜像 与快 照保


结访安 网络 构 问 全 安全 安 控 审
全制计
边界 完整 性检

远入 程侵 访防 问范
恶意 代码 防范
网络 设备 防护
物理安全
安全管 理制度
管理 制度
制定和 发布
评审和 修订
安全管 理机构
人员安 全管理
系统建 设管理
系统运 维管理
1)地市级以上政府机关面向公众服务的业务系统, 或与医疗、安防、消防、应急指挥、 生产调度、交 通指挥等相关的城市管理系统。 2)规模超过1500个标准机架的数据中心。 3)一旦发生网络安全事故,可能造成右边列影响 之一的。 4)其他应该认定为关键信息基础设施。
1) 影响单个地市级行政区30%以上人口的工作、生活; 2) 影响10万人用水、用电、用气、用油、取暖或交通出行等; 3) 导致5人以上死亡或50人以上重伤; 4) 直接造成5000万元以上经济损失; 5) 造成超过100万人个人信息泄露; 6) 造成大量机构、企业敏感信息泄露; 7) 造成大量地理、人口、资源等国家基础数据泄露; 8) 严重损害社会和经济秩序,或危害国家安全。
安全管理制度 安全管理机构 人员安全管理 系统建设管理 系统运维管理
技术要求
物理和环境安全 网络和通信安全 设备和计算安全 应用和数据安全
管理要求
安全管理策略和制度 安全管理机构和人员 系统安全建设管理 系统安全运维管理
执行力度加强
执行力度
1994年国务院《中华人民共和国计算机信 息系统安全保护条例》 关于信息安全等级保护工作的实施意见 (公通字[2004]66号) 信息安全等级保护管理办法(公通字 [2007]43号)
信息安全
网络安全
等级保护1.0
等级保护2.0
网络安全法与等级保护
第三十一条 国家公共通信和信息服务、能源、交通、 水利、金融、公共服务、电子政务等重要 行业和领域,以及 一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家 安全、国计民生、 公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。 国家互联网信息办公室《关键信息基础设施安全保护条例(征求意见稿)》已发布: ➢ 地市级以上人民政府应当将关键信息基础设施安全保护工作纳入地区经济社会发展总体规划,
《网络安全等级保护测评要求第1部分:安全通用要求》 《网络安全等级保护测评要求第2部分:云计算安全扩展要求》 《网络安全等级保护测评要求第3部分:移动互联安全扩展要求》 《网络安全等级保护测评要求第4部分:物联网安全扩展要求》 《网络安全等级保护测评要求第5部分:工业控制系统安全扩展要求》 《网络安全等级保护测评要求第6部分:大数据安全扩展要求》
等保合规自评
安全运行与维护
运行管控 变更管控 状态监控 服务商管控 等级测评 检查改进
《网络安全等级保护设计技术要求第1部分:安全通用要求》 《网络安全等级保护设计技术要求第2部分:云计算安全扩展要求》 《网络安全等级保护设计技术要求第3部分:移动互联安全扩展要求》 《网络安全等级保护设计技术要求第4部分:物联网安全扩展要求》 《网络安全等级保护设计技术要求第5部分:工业控制系统安全扩展要求》 《网络安全等级保护设计技术要求第6部分:大数据安全扩展要求》
等级保护1.0标准体系
信息系统安全等级保护定级指南(GB/T 22240-2008)
信息系统安全等级保护行业定级细则
GB/T 28448-2012
安全等级
过保安信 要保安信
程护全息 指测等系 南评级统
求护全息 测等系 评级统
状况
信息系统安全等级
方法
分析
保护建设整改
指导
GB/T 28449-2012
相关文档
最新文档