精选-信息安全-等级保护2.0政策解读
等保2.0新标准解读
等保2.0新标准解读5月13日下午,国家标准新闻发布会在市场监管总局马甸办公区新闻发布厅召开,网络安全等级保护制度2.0标准正式发布,包括网络安全等级保护的基本要求、测评要求、安全设计技术要求三个部分,实施时间为2019年12月1日。
《网络安全法》出台后,等级保护进入2.0时代,这意味着2007年四部门建立的“信息安全等级保护体系”已全面升级到“网络安全等级保护2.0体系”。
网络安全等级保护是国家网络安全保障的基本制度、基本策略、基本方法。
开展网络安全等级保护工作是保护信息化发展、维护网络安全的根本保障,是网络安全保障工作中国家意志的提现。
网络安全等级保护虽然依旧按照定级、备案、建设整改、等级测评、监督检查等五个阶段进行,同时,等级保护的“五个等级”及“主体职责”没有变化。
但是,等保2.0已经从法规条例“国务院147号令”上升到《网络安全法》的法律层面;《网络安全法》第二十一条要求,国家实施网络安全等级保护制度;第二十五条要求,网络运营者应当制定网络安全事件应急预案;第三十一条则要求,关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护;第五十九条明确了,网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门给予处罚。
总而言之,等保2.0实施后,不开展等级保护等于违反《网络安全法》,可以根据法律规定进行处罚。
传统等级保护(暂时叫等保1.0)主要强调物理安全、主机安全、网络安全、应用安全、数据安全及备份恢复等通用要求,而等保2.0标准在对等保1.0标准基本要求进行优化的同时,针对云计算、物联网、移动互联网、工业控制、大数据新技术提出了新的安全扩展要求。
也就是说,使用新技术的信息系统需要同时满足“通用要求安全扩展”的要求。
并且,针对新的安全形势提出了新的安全要求,标准覆盖度更加全面,安全防护能力有很大提升。
通用要求方面,等保2.0标准的核心是“优化”。
删除了过时的测评项,对测评项进行合理性改写,新增对新型网络攻击行为防护和个人信息保护等新要求,调整了标准结构、将安全管理中心从管理层面提升至技术层面。
等保2.0主要标准-解释说明
等保2.0主要标准-概述说明以及解释1.引言1.1 概述概述随着信息技术的不断发展和日益普及,网络空间安全问题已经成为了一个全球性难题。
为了提高国家网络安全水平,我国推出了一系列的信息安全等级保护(等保)标准。
等保标准旨在规范和指导各类网络系统、设备和服务的安全建设与管理,以保护国家的核心信息基础设施和重要信息资源的安全。
在等保标准的演进过程中,等保2.0标准应运而生。
等保2.0标准是在等保1.0标准的基础上进一步完善和提升的,以适应网络安全形势的发展和应对新的威胁挑战。
本文将从等保2.0标准的角度,对其主要内容、应用与实施以及重要性进行深入探讨。
另外,还将对等保2.0标准存在的局限性进行分析,并展望其未来的发展方向。
通过阅读本文,读者可对等保2.0标准有一个全面的了解,从而更好地理解和应用这一标准,提升网络安全保障水平,推动我国网络安全事业的健康发展。
1.2 文章结构文章结构部分的内容可以包括以下几个方面:首先,简要介绍本文的组织结构。
本文主要分为三个部分,分别是引言、正文和结论。
每个部分都涵盖了等保2.0主要标准相关的内容,通过逐步展开的方式,从整体和细节两个层面深入探讨等保2.0主要标准的方方面面。
其次,详细说明引言部分的内容。
引言部分将提供该篇文章的背景信息以及对等保2.0主要标准的整体概述。
包括等保2.0标准的定义、由来和发展背景等内容,以便读者能够对本文所述的主题有一个基本的了解。
接着,阐述正文部分的内容和结构。
正文部分是本文的核心,将对等保2.0主要标准进行详细介绍。
主要分为两个子节:等保2.0标准的介绍和等保2.0标准的主要内容。
等保2.0标准的介绍将给出更具体的详细信息,包括标准的制定机构、标准的适用范围和目标等。
而等保2.0标准的主要内容将对标准的具体要求和指导进行详细解读,包括网络安全风险评估与等级划分、网络安全保护等级与技术要求等方面。
最后,简要说明结论部分的内容和意义。
等保2.0标准体系详细解读-培训课件
行为;新增实现对网络攻击特别是新型网络攻击行为的分析 恶意代码和垃圾邮件防范:新增垃圾邮件防护 安全审计:新增对远程访问的用户行为、访问互联网的用户行为等单独进行行为
资源控制
7
数据完整性
2
数据安全及 备份恢复
数据保密性
2
备份和恢复
4
安全计算环境
控制点
要求项
身份鉴别
4
访问控制
7
安全审计
4
入侵防范
6
恶意代码防范
1
可信验证
1数据Biblioteka 整性2数据保密性2
数据备份恢复
3
剩余信息保护
2
个人信息保护
2
合计
34
变化列举
身份鉴别:加强用户身份鉴别,采用两种或两种以上鉴别方式,且其中 一种鉴别技术至少应使用密码技术来实现
安全审计 数据完整性 个人信息保护
入侵防范 数据保密性
安全区域边界
边界防护
访问控制
恶意代码和垃圾邮件防范
入侵防范 安全审计
可信验证
安全通信网络 网络架构
通信传输
可信验证
安全物理环境
物理位置选择 防雷击
温湿度控制
物理访问控制 防火
电力供应
防盗窃和防破坏
防水和防潮
防静电
电磁防护
通用要求-安全管理要求的变化
信息安全保障纲领 性文件,明确指出 “实行信息安全等 级保护“主要任务
进一步明确了信息 安全等级保护制度 的职责分工和工作 的要求等基本内容
明确了信息安全等 级保护的五个动作, 为开展等级保护工 作提供了规范保障
等级保护2.0标准解读
等级保护2.0标准解读随着互联网技术的不断发展,人们对于个人信息保护的关注程度逐渐提升。
为此,我国相继出台了多项保护个人信息的法规和标准。
其中,等级保护2.0标准是其中重要的一项。
一、等级保护2.0标准的背景等级保护2.0标准是我国信息安全领域的一项重要标准,它的出台主要是针对当前信息环境下的数据泄露、跨界收集等问题,以及对于个人敏感信息保护的需要。
本标准对于政府、企业和个人都有一定的指导意义,是希望通过技术和管理手段来维护信息安全和保护用户个人信息。
二、等级保护2.0标准的主要内容1.等级分类等级保护2.0标准将信息系统按照不同的等级分类,具体分为四个等级。
通过等级分类,可以让用户直观地了解自己的信息系统安全等级,从而更好地保障个人信息的安全。
2.安全控制要求不同等级的信息系统,其保护措施的要求也不同。
等级保护2.0标准中详细列出了四个等级的信息系统所需要的安全控制要求,包括安全管理、物理安全、网络安全、数据安全、应用安全等方面。
其中每一个安全控制要求都有详细的说明和操作指南。
3.风险评估根据等级保护2.0标准,用户需要对自己所属的信息系统进行风险评估,并根据评估结果来采取相应的安全保护措施。
这个过程需要基于实际情况,适当评估信息系统的风险程度,以便在安全措施上精准地投入精力。
4.日志管理等级保护2.0标准要求对于信息系统的运行情况进行日志管理,以便及时发现异常情况并采取相应的措施。
同时,对于重要信息系统,需要开展安全监视和重要事件和安全事件的应急响应工作。
三、等级保护2.0标准实施的意义等级保护2.0标准的出台,对于保护个人信心和保障信息安全具有重要的意义。
它能够有效地帮助用户改善信息安全,保护个人信息的私密性和完整性。
同时,对于企业和政府也具有重要的指导意义,可以指导其科学地进行信息系统的规划和设计,保障信息安全。
四、等级保护2.0标准在实践中的运用等级保护2.0标准已经在我国得到广泛的应用,是保障信息安全方面的重要举措。
等级保护2.0标准解读
等级保护2.0标准解读引言等级保护是指对信息系统根据其重要程度和承载的信息类型进行分类,并根据其分类确定相应的技术和管理措施,以达到保护信息系统安全的目的。
等级保护2.0标准(以下简称标准)是中国国家信息安全等级保护测评中心(以下简称测评中心)发布的信息安全评价标准,通过对信息系统进行评估,为政府和企事业单位提供安全等级保护的指导和借鉴。
标准内容等级划分标准对信息系统安全分为5个等级,分别为A、B、C、D和E等级,等级越高,要求越严格。
根据应用场景和信息系统的特点,使用方可根据需要选择相应的等级进行评估和保护。
技术要求标准对于不同等级的信息系统,提出了相应的技术要求。
技术要求包括网络安全、系统安全、数据安全等方面的要求,并且对不同等级的信息系统要求不同。
例如,在网络安全方面,标准要求高等级信息系统采用多层次防护措施,包括网络入侵检测系统、防火墙、流量监测等;而低等级信息系统则要求基本的网络防护措施,如杀毒软件、防火墙等。
管理要求标准对等级保护的管理要求进行了明确。
管理要求包括安全管理组织、安全策略和规范、安全培训和意识教育等方面的要求。
管理要求的关键在于对等级保护的全生命周期和全链条进行管理,确保信息系统的安全保护工作得到有效的执行。
测评规程标准对信息系统的测评规程进行了详细描述。
测评规程包括等级划分、测评方案、测评方法、测评程序等方面的内容,确保测评工作的规范和有效性。
测评结果被用于评估信息系统的安全等级,并为信息系统提供相应的加固和改进建议。
使用指南标准的使用指南主要包括等级划分、技术要求、管理要求和测评规程的解读和应用。
使用方可根据自身信息系统的特点和需要,按照标准的要求进行评估和保护工作。
标准还提供了一些实施细则和指导,为使用方提供了实际操作的参考。
等级保护2.0标准是一项重要的信息安全评价标准,通过对信息系统的评估和保护,可以有效提高信息系统的安全性和可靠性。
标准的发布为政府和企事业单位提供了参考和指导,帮助其建立健全的信息安全管理体系,保护重要信息资产的安全。
等保2.0政策规范解读(63页 PPT )
d) 应限制无线网络的使用,确保无线网络通过受控的边界防护设备 接入内部网络。
入侵防范
b) 应在关键网络节点处检测、防止或限制从内部发起的网络攻击行 为; (新增)
设计要求
测评要求
通用要求
云计算
物联网
移动互联
工业控制
7
。 share
等保2.0标准解读
勇 share
等级保护1.0和2.0对比
旧标准(等级保护1.0)
技术要求
物理安全 网络安全 主机安全 应用安全
管理要求
数据安全及备份恢复 安全管理制度 安全管理机构 人员安全管理 系统建设管理 系统运维管理
9
新标准(等级保护2.0)
无 入侵防范
无
a) 应采用校验码技术或密码技术保证通信过程中数据的完整性;
通信传输 b) 应采用密码技术保证通信过程中敏感信息字段或整个报文的保密 性。
a) 应保证跨越边界的访问和数据流通过边界防护设备提供的受控接 口进行通信;
边界防护
b) 应能够对非授权设备私自联到内部网络的行为进行限制或检 查;
3
4
6 防水和防潮
3
2
7 防静电
2
1
8 温湿度控制
1
4
9 电力供应
3
3
10 电磁防护
2
。 share
物理位置的选择
原控制项
新控制项
b)机房场地应避免设在建筑物的高层或 地下室,以及用水设备的下层或隔壁。 物理位置的选择
b)机房场地应避免设在建筑物的顶层或地下室, 否则应加强防水和防潮措施
防静电
无
等级保护2.0标准解读
等级保护2.0标准解读等级保护2.0标准解读1. 简介等级保护2.0标准(以下简称DP-2.0)是指文档等级保护的新一代标准。
该标准在信息安全领域有着重要的作用,对于保护敏感信息、提高数据安全性具有重要意义。
本文将对DP-2.0标准进行详细解读。
2. DP-2.0标准的背景随着信息技术的不断发展和广泛应用,数据安全问题也日益突出。
为了保护信息安全,各类组织纷纷提出了不同的标准和措施。
DP-2.0标准作为新一代的等级保护标准,在防范各类信息安全威胁方面有着显著的优势。
3. DP-2.0标准的核心内容DP-2.0标准包括以下核心内容:3.1 安全等级划分DP-2.0标准将信息系统按照安全等级进行划分,分为一级、二级、三级三个等级。
不同等级对应不同的安全需求和保护措施,以确保数据的安全性。
3.2 关键要素保护DP-2.0标准明确了关键要素的保护要求,包括对密码、身份认证、访问控制等方面的保护措施,以防止关键要素的泄露和滥用。
3.3 安全审计与监控DP-2.0标准要求建立完善的安全审计与监控机制,及时发现和应对安全事件,保障信息系统的日常运行安全。
3.4 安全培训与管理DP-2.0标准强调安全培训与管理的重要性,要求定期进行安全培训,加强员工对信息安全的意识,提高整体的安全防护能力。
4. DP-2.0标准的应用DP-2.0标准适用于各类组织的信息系统,包括企事业单位、政府机关等。
通过遵循DP-2.0标准,组织可以更加全面地保护敏感信息,提高数据安全性,有效应对信息安全威胁。
5. DP-2.0标准的优势相较于以往的等级保护标准,DP-2.0标准具有以下优势:- 标准要求更加明确,有利于各类组织的实施和操作。
- 标准细化了关键要素的保护要求,对信息系统的安全性提出了更高的要求。
- 标准强调安全培训与管理的重要性,提高了组织的整体安全水平。
6. 结论DP-2.0标准作为新一代的等级保护标准,具有重要的意义。
通过遵循DP-2.0标准,组织可以更好地保护敏感信息,提高数据安全性,并有效地应对信息安全威胁。
等保2.0基本要求
等保2.0基本要求标题:等保2.0基本要求及其重要性随着信息化的快速发展,网络安全已经成为国家和社会关注的重要问题。
在此背景下,中国制定了等保2.0基本要求,以期提高我国的信息安全防护水平。
本文将详细介绍等保2.0的基本要求,并阐述其重要性。
一、等保2.0基本要求概述等保2.0是《信息安全等级保护基本要求》的简称,是我国在信息安全管理领域的一项重要政策。
等保2.0于2019年正式发布并实施,是对原有等保1.0的一次全面升级和改革。
等保2.0从原来的五个级别扩展到三个级别,即基础级、增强级和高级,每个级别都有相应的技术要求和管理要求。
二、等保2.0基本要求的具体内容1. 技术要求:主要包括物理环境安全、网络和通信安全、设备和计算安全、应用和数据安全等方面。
这些技术要求旨在保证信息系统的稳定运行和数据的安全存储。
2. 管理要求:主要包括安全策略和制度、人员安全管理、资产管理、安全运维管理和应急响应等方面。
这些管理要求旨在规范信息系统的日常管理和维护,防止人为因素导致的信息安全事件。
三、等保2.0的重要性等保2.0的实施对于提升我国的信息安全防护能力具有重要意义。
首先,等保2.0能够指导各组织机构进行信息系统建设,确保信息系统的安全性、稳定性。
其次,等保2.0能够提高公众对信息安全的认识,推动全社会形成良好的信息安全氛围。
最后,等保2.0也体现了我国对国际信息安全标准的接轨,有助于提升我国在国际信息安全领域的影响力。
四、结论综上所述,等保2.0基本要求是我国信息安全工作的重要指南。
只有严格按照等保2.0的要求进行信息系统建设和维护,才能有效保障我国的信息安全。
因此,我们需要进一步加强等保2.0的宣传和培训,让更多的人了解和掌握等保2.0的基本要求,共同构建一个安全、可靠的信息环境。
以上只是对等保2.0基本要求的简单介绍,实际上,等保2.0的内容非常丰富,涵盖了信息安全的各个方面。
希望这篇文章能帮助大家对等保2.0有一个初步的了解,如果想要深入了解等保2.0,还需要阅读相关的法规和标准,以及参加专业的培训。
等保2.0的主要变化_概述说明以及解释
等保2.0的主要变化概述说明以及解释1. 引言1.1 概述等保2.0是指国家互联网信息办公室发布的《信息系统安全等级保护管理规定》,也被称为“网络安全等级保护2.0”。
随着互联网技术的发展和网络威胁形势的不断演变,等保2.0作为对原有等级保护制度的一次重大改革,旨在解决现有制度存在的问题,并提供更加科学、灵活和有效的网络安全管理要求。
本文将介绍等保2.0主要变化以及对企业和组织带来的影响。
1.2 文章结构本文共分为五个部分。
第一部分是引言,简要介绍了等保2.0的概述、文章结构和目的。
第二部分将详细讨论等保2.0主要变化,包括背景介绍、主要变化概述以及解释这些变化的意义。
第三部分将深入探讨等保2.0所采取的具体改进措施,包括政策法规的更新、安全等级核定标准的调整以及技术要求的升级与完善。
第四部分将重点讨论等保2.0对企业和组织带来的影响与挑战,包括对企业安全管理体系的要求提升、对IT基础设施建设的影响以及对人员培训和意识提升的要求。
最后一部分是结论,总结本文内容。
1.3 目的本文旨在全面介绍等保2.0的主要变化,并解释这些变化对企业和组织产生的影响和挑战。
通过深入了解等保2.0的改革内容,读者可以更好地理解新制度背后的原因和意义,并为相应的安全管理工作做好准备。
同时,本文也为相关领域从业人员提供了一份详尽清晰的参考资料,在实践中能够更加有效地推进等保2.0标准的落地实施。
2. 等保2.0主要变化2.1 背景介绍等保2.0是中国国家网络安全宣传周的重要内容之一,旨在进一步提升我国信息系统安全保护水平,适应新形势下信息化发展对网络安全的新挑战和新需求。
随着互联网技术的迅猛发展及信息化水平的不断提高,我国网络空间面临着日益复杂多变的威胁与风险,原有的等级保护制度已经无法满足现代网络环境下的安全需求。
因此,等保2.0作为更新版的等级保护制度,在政策法规、核定标准以及技术要求方面都进行了重大调整和改进。
2.2 主要变化概述等保2.0相对于原有的等级保护制度,在以下方面进行了主要变化:首先,在政策法规层面上,等保2.0进行了修订和更新。
等级保护2.0解读与应对
© 2019 毕马威企业咨询(中国)有限公司 — 中国外商独资企业, 是与瑞士实体 — 毕马威国际合作组织 ( "毕马威国 5
际" ) 相关联的独立成员所网络中的成员。版权所有,不得转载。中国印刷。
等级保护2.0解读与应对
网络运营者的安全保护义务
等保条例在网络安全法规定的网络运营者安全保护义务的基础上,对网络运营者针 对不同安全保护等级网络的安全保护义务作了明确、细化的要求,这是等级保护 2.0作为“条例”的新变化,既是公安部门的监管重点,也是网络运营者等保建设 和测评的重点。
06
4 等级保护合规建议
11
5 毕马威等级保护合规服务
12
© 2019 毕马威企业咨询(中国)有限公司 — 中国外商独资企业, 是与瑞士实体 — 毕马威国际合作组织 ( "毕马威国 3
际" ) 相关联的独立成员所网络中的成员。版权所有,不得转载。中国印刷。
等级保护2.0解读与应对
等级保护发展历程
1994
等级保护合规建议毕马威网络安全服务基于企业运营现状和规划开展内部系统梳理识别并形成系统清单根据等级保护相关要求按业务重要程度系统对外服务可用性数据的类型和规模等要素梳理网络和系统及其边界明确信息安全责任主体和定级对象对内部系统进行初步定级根据确定的定级对象和对应级别参照等级保护相关要求进行差距分析形成自查报告针对不符合项确定整改策略开展整改工作包括技术措施落实和管理制度完善等按需开展网络安全法相关要求的合规性评估风险评估和技术检测等作为等级保护合规的必要补充按要求编制定级报告并组织必要的外部专家评审二级及以上完成主管部门审核如有后进一步完成公安部门备案选择公安部授权的测评机构开展测评根据初测结论进行安全整改并通过复测以获得备案证明三级及以上三级系统要求每年需测评1次二级系统建议每2年测围绕信息安全治理目标结合等保工作发现制定安全规划明确网络安全工作任务以及各项任务的优先级成本和资源参照等级保护20和行业最佳实践完善网络安全技术保障体系识别保护检测响应恢复等并按要求定期开展年度测评工作持续关注网络安全法及相关法律政策标准的动态及时对应新的监管要求系统梳理和定级自查整改第三方测评和备案持续改进等级保护合规路径等级保护是国家信息安全保障工作的基本制度
等保2.0解读
等保2.0解读等保2.0解读信息安全等级保护 1.0:以GB17859-1999《计算机信息系统安全保护等级划分准则》为根标准;以GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》为基础标准;习惯将《基本要求》的2008版本及其配套规范标准称为等保1.0。
⽹络安全等级保护 2.0:2014年开始制定2.0标准,修订了通⽤安全要求,增加了云计算、移动互联、⼯控、物联⽹等安全扩展要求。
2019年5⽉13⽇发布;2019年12⽉1⽇开始实施。
名称变化:原来:《信息系统安全等级保护基本要求》改为:《信息安全等级保护基本要求》再改为:(与《⽹络安全法》保持⼀致)《⽹络安全等级保护基本要求》主要标准⽂件:⽹络安全等级保护条例(总要求/上位⽂件)计算机信息系统安全保护等级划分准则(GB 17859-1999)(上位标准)⽹络安全等级保护实施指南(GB/T25058)(正在修订)⽹络安全等级保护定级指南(GB/T22240)(正在修订)★⽹络安全等级保护基本要求(GB/T22239-2019)★⽹络安全等级保护设计技术要求(GB/T25070-2019)★⽹络安全等级保护测评要求(GB/T28448-2019)★⽹络安全等级保护测评过程指南(GB/T28449-2018)等保2.0的“变与不变”:“不变”:等级保护“五个级别”不变:1⾃主保护级;2 指导保护级;3 监督保护级;4 强制保护级;5 转控保护级等级保护“五个阶段”不变:1定级;2备案;3安全建设和整改;4信息安全等级测评;5信息安全检查等级保护“主体职责”不变:公安机关;国家保密⼯作部门;国家密码管理部门;⼯业和信息化部门为职能部门“变”:法律法规变化:不开展等级保护等于违法!并要承担相应的法律后果标准要求变化:使⽤新技术的信息系统需要同时满⾜“通⽤要求+安全扩展”的要求“优化”通⽤要求,删除了过时的测评项(增加云计算、⼯控、移动互联、物联⽹安全要求)安全体系变化:从被动防御的安全体系向事前预防、事中响应、事后审计的动态保障体系转变实施环节变化:系统定级必须经过专家评审和主管部门审核测评达到75分以上才算基本符合要求对象变化:原来:信息系统改为:等级保护对象(⽹络和信息系统)安全等级保护的对象包括⽹络基础设施(⼴电⽹、电信⽹、专⽤通信⽹络等)、云计算平台/系统、⼤数据平台/系统、物联⽹、⼯业控制系统、采⽤移动互联技术的系统等.安全要求变化:原来:安全要求改为:安全通⽤要求和安全扩展要求安全通⽤要求是不管等级保护对象形态如何必须满⾜的要求,针对云计算、移动互联、物联⽹和⼯业控制系统提出了特殊要求,称为安全扩展要求.章节结构的变化:8 第三级安全要求8.1 安全通⽤要求8.2 云计算安全扩展要求8.3 移动互联安全扩展要求8.4 物联⽹安全扩展要求8.5 ⼯业控制系统安全扩展要求分类结构变化:结构和分类调整为:(2017试⽤稿)技术部分:物理和环境安全、⽹络和通信安全、设备和计算安全、应⽤和数据安全;管理部分:安全策略和管理制度、安全管理机构和⼈员、安全建设管理、安全运维管理技术部分:(正式发布稿)安全物理环境、安全通信⽹络、安全区域边界、安全计算环境、安全管理中⼼管理部分:安全管理制度、安全管理机构、安全管理⼈员、安全建设管理、安全运维管理新等级保护的特点:1.基本要求、测评要求和技术要求框架统⼀,安全管理中⼼⽀持下的三重防护结构框架2.通⽤安全要求+新型应⽤安全扩展要求,将云计算、移动互联、物联⽹、⼯业控制等列⼊标准规范3.把基于可信根的可信验证列⼊各级别和各环节的主要功能要求新等级保护建设的核⼼思想:信息系统的安全设计应基于业务流程⾃⾝特点,建⽴“可信、可控、可管”的安全防护体系,使得系统能够按照预期运⾏,免受信息安全攻击和破坏。
精选-信息安全-等级保护2.0政策解读
等保定级
依据国家等级保护制度监管的十六字方案要求:自主定级、专家 评审、主管部门审批和公安机关监督,补充和完善后的定级流程 为:1、确定定级对象;2、初步确定等级;3、专家评审;4、主 管部门审核;5、公安机关备案审查
网络安全法的立法宗旨是为了保障网络安全、维护网络空间主权 和国家安全、社会公共利益、保护公民,法人和其他组织的合法 权益。因此修订后的定级指南,三级定义为:“等级保护对象受 到破坏后,会对公民、法人和其他组织的合法权益产生特别严重 损害,或者对社会秩序和公共利益造成严重损害,或者对国家安 全造成损害”
1)地市级以上政府机关面向公众服务的业务系统, 或与医疗、安防、消防、应急指挥、 生产调度、交 通指挥等相关的城市管理系统。 2)规模超过1500个标准机架的数据中心。 3)一旦发生网络安全事故,可能造成右边列影响 之一的。 4)其他应该认定为关键信息基础设施。
1) 影响单个地市级行政区30%以上人口的工作、生活; 2) 影响10万人用水、用电、用气、用油、取暖或交通出行等; 3) 导致5人以上死亡或50人以上重伤; 4) 直接造成5000万元以上经济损失; 5) 造成超过100万人个人信息泄露; 6) 造成大量机构、企业敏感信息泄露; 7) 造成大量地理、人口、资源等国家基础数据泄露; 8) 严重损害社会和经济秩序,或危害国家安全。
等级保护定级
等保定级
定级流程,GB/T22240-2008定级指南聚焦于如何从业务信息和 系统服务两个角度分析和确定定级对象的安全保护级别,并未完 整描述整个定级工作过程,在实际工作中可能导致备案单位缺漏 部分环节,影响定级结果的准确性
GB/T22240-2008定级指南中,将安全保护等级三级定义为:等 级保护对象受到破坏后,对社会秩序和公共利益造成严重损害, 或者对国家安全造成损害。因此,那些未对国家安全造成损害或 社会秩序和公共利益造成严重损害,但对法人或组织造成特别严 重损害的等级保护对象(如全国性集团公司的资金集中管理系统 ,大型互联网信息平台的统一运维管理系统等)将被确定为二级
等级保护2.0标准解读
《信息系统安全等级保护测评过程指南》GB/T28449-2012(有修订)ຫໍສະໝຸດ 客户支持 和服务代表
跨云提供 者
云服务安 全和风险 管理者
网络提供 者
22
等保2.0-移动互联安全扩展要求
• 移动互联安全扩展要求章节针对移动互联的特点 提出特殊保护要求。对移动互联环境主要增加的 内容包括“无线接入点的物理位置”、"区域边 界安全"、“移动终端管控”、“移动应用管控 ”、“移动应用软件采购”和“移动应用软件开 发”等方面。
19
02 等级保护2.0 介绍 20
等保2.0-云计算安全扩展要求
• 云计算安全扩展要求章节针对云计算的特点提出 特殊保护要求。对云计算环境主要增加的内容包 括“基础设施的位置”、“虚拟化安全保护”、 “镜像和快照保护”、“云服务商选择”和“云 计算环境管理”等方面。
21
等保2.0-云计算安全扩展要求
12
等保2.0特点4-强化可信计算
从一级到四级均在“安全通信网络”、“安全区域边界”和“安全计算环境” 中增加了“可信验证”控制点。
设备的系统引导程序、系统程序等进行可信验证
增加重要配置参数和应用程序进行可信验证,并将 验证结果形成审计记录送至安全管理中心
增加应用程序的关键执行环节进行动态可信验证
• 管理部分: • 安全管理制度、安全管理机构、安全管理人员、安全建 设管理、安全运维管理
信息安全技术等级保护2.0
信息安全技术等级保护2.01.引言1.1 概述概述信息安全技术等级保护2.0是一种针对信息系统和网络安全的等级保护机制,旨在为不同等级的信息系统提供相应的安全防护措施和技术支持。
这一机制基于我国信息安全技术等级保护标准以及各行各业的实际需求,对传统的信息安全等级保护进行了深入的研究和改进。
随着信息系统和网络的快速发展,信息安全问题日益突出。
传统的信息安全等级保护往往只针对特定的行业和应用场景,难以满足不断更新迭代的信息系统和网络环境的需求。
因此,信息安全技术等级保护2.0应运而生,旨在提供更为灵活、适用性更强的信息安全保护方案。
与传统的信息安全技术等级保护相比,2.0版本具有更高的可扩展性和兼容性。
它将信息安全等级划分为多个具体的级别,根据不同级别的信息系统特点和安全需求,为其提供相应的安全技术规范和控制要求。
同时,2.0版本还针对新兴技术和应用场景进行了更为精细和全面的安全评估,以确保信息系统和网络在面临新威胁时能够有效应对。
本文将对信息安全技术等级保护2.0的背景和特点进行深入探讨。
通过对这一机制的分析和解读,旨在增强读者对信息安全保护的理解和认识,引起广大企事业单位对信息安全的重视和关注。
此外,本文还将对未来信息安全技术等级保护的发展趋势进行展望,为读者提供参考和借鉴。
1.2文章结构1.2 文章结构本文将按照以下结构进行论述。
首先,在引言部分,我们将概述信息安全技术等级保护2.0的背景,以及明确本文的目的。
接下来,在正文部分,我们将详细探讨信息安全技术等级保护2.0的背景,包括其发展历程、相关标准的演进等内容。
随后,我们将介绍信息安全技术等级保护2.0的特点,包括其具备的安全性能和功能,以及与传统技术等级保护的不同之处。
最后,在结论部分,我们将对本文进行总结,并对信息安全技术等级保护2.0的未来发展进行展望。
通过以上结构,本文将全面介绍并分析信息安全技术等级保护2.0的相关内容,希望能够对读者提供一个清晰的了解。
等保2.0政策规范解读
7.等保2.0扩展要求(四)物联网
等级保护级别
等保工作流程
等保对象演变
等保标准变化
标准内容变化
2.等保2.0标准解读
总结对比
总结对比
重点解读
பைடு நூலகம்
重点解读
重点解读
3.网络安全法与等保2.0
4.等保2.0扩展要求(一)云计算
5.等保2.0扩展要求(二)移动互联
6.等保2.0扩展要求(三)工控安全
等保2.0政策规范解读
目录
• 1.等级保护概述 • 2.等保2.0标准解读 • 3.网络安全法与等保2.0 • 4.等保2.0扩展要求(一)云计算 • 5.等保2.0扩展要求(二)移动互联 • 6.等保2.0扩展要求(三)工控安全 • 7.等保2.0扩展要求(四)物联网
1.等级保护概述
什么是等级保护
等保2.0政策规范解读指导方案
突出以技管网
等保2.0政策强调利用技术手段加强对 网络安全的监管和管理,提高网络安全 管理的效率和水平。
扩大适用范围
等保2.0政策将所有非涉密网络信息系 统的安全保护纳入适用范围,提高了网 络信息系统的安全保障能力。
加强监督检查
等保2.0政策要求各级政府加强对网络 信息系统的监督检查,确保各项安全措 施得到有效落实。
定期开展自查与整改
企业应定期开展安全自查,及时发现和整改 存在的安全隐患,确保符合等保2.0政策的 要求。
加强等保2.0政策的宣传与培训
政府部门应加大对等保2.0政策的宣传 力度,提高企业对政策的认知度和重 视程度。
组织开展等保2.0政策的培训活动,帮 助企业了解政策的具体要求和实施方 法,提高企业的合规意识和操作能力 。
THANKS
安全监测与应急响应
建立安全监测机制,实时监测信息 系统的安全状况,并制定应急响应 预案,及时处置系统异常和安全事 件。
案例二:某政府机构等级保护实践
01
确定信息系统等级
根据业务性质和重要程度,将 政府机构的信息系统划分为不 同的等级,并按照等级保护要
求进行安全防护。
02
安全风险评估与整改
对信息系统的安全风险进行全 面评估,识别存在的安全隐患 和漏洞,并制定整改措施,确 保系统安全性符合等级保护要
安全管理
建立完善的安全管理 制度,明确各级安全 管理职责,确保各项 安全措施的有效执行 。
监督与检查机制
01
定期监督检查
相关部门应定期对等级保护对 象的运行情况进行监督检查。
02
不定期抽查
相关部门可不定期对等级保护 对象进行抽查,以确保各项安
全措施的有效执行。
等级保护2.0标准解读
等级保护2.0标准解读等级保护2.0标准解读1. 引言等级保护2.0标准是由国家信息安全评估标准化技术委员会(TC260)制定的,旨在规范和指导信息系统的等级保护工作。
本文将对等级保护2.0标准进行解读,帮助读者更好地理解标准的相关内容。
2. 等级保护2.0简介等级保护2.0是对原等级保护1.0标准的升级和完善。
它采用了更加严格和全面的评估体系,同时注重信息系统的动态管理和持续改进。
等级保护2.0标准主要包括等级划分、安全需求、评估方法、安全控制和评估规范等内容。
3. 等级划分等级划分是等级保护2.0标准中的核心概念。
根据信息系统的重要性和敏感性,将其划分为5个等级,依次为一级(最高)、二级、三级、四级和五级(最低)。
等级划分的目的是为了提供不同等级信息系统的安全要求和评估依据。
4. 安全需求安全需求是等级保护2.0标准对各个等级信息系统的安全要求和技术控制的详细规定。
安全需求包括基本需求和增强需求两部分。
基本需求是每个等级信息系统必须满足的最低安全要求,而增强需求是在基本需求的基础上对特定等级信息系统提出的额外要求。
5. 评估方法等级保护2.0标准规定了针对不同等级信息系统的评估方法。
评估方法主要包括目标评估和技术评估两个层面。
目标评估是通过对信息系统的目标进行评估,判断其是否满足相应等级的安全需求。
技术评估则是通过对技术控制的实施情况进行评估,验证信息系统的安全性和合规性。
6. 安全控制安全控制是等级保护2.0标准中的重要内容。
标准给出了一套完整的安全控制措施,用于保护信息系统的机密性、完整性和可用性。
安全控制主要包括物理安全、网络安全、访问控制、加密保护、安全运维和应急响应等方面。
7. 评估规范评估规范是对等级保护2.0标准进行实施评估的指导文件。
它提供了评估流程、评估要求、评估指标和评估方法等详细内容,帮助评估机构和评估人员开展评估工作。
评估规范的制定旨在确保评估结果的准确性和一致性。
8. 总结等级保护2.0标准作为我国信息系统安全领域的重要标准,对于保护信息系统的安全性和可靠性起到了重要作用。
等级保护2.0解决方案
未知威胁检测与分析
TAC-D
已知威胁检测与防御
FW/NIPS
智能安全管理
ISOP
Attacker
协同分析与联动防御
威胁情报上报与分发
集中管理与智能分析
全球威胁情报协同
邮件高级威胁检测与防御
TAC-E
Internet
SAS-W OSMS
NTI
安全计算环境建设
安全计算环境
安全计算环境建设
WEB
协同安全运营,提高安全能力
依托现有运营服务体系,支撑对保护对象,进行持续监测、预警和研判处置,提升其检测、保护和应急响应能力。
方案价值
谢谢!
SAG
区域A 区域B 区域C
安全区域边界建设
网络边界的安全防护,特别是无线网络与有线网络的边界控制。
实现对网络攻击特别是未知的新型网络攻击的检测和分析。关键节点分别具备限制,Fra bibliotek部发起的攻击行为。
特定用户要求单独进行行为审计和数据分析。(远程访问的用户行为、访问互联网的用户行为)
覆盖新场景、新应用、新技术;
等保2.0全流程服务
02
等保2.0全流程服务
等级保护工作流程
等保2.0全流程服务
定级、备案
拟定为二级以上的定级对象,需组织专家评审;有行业主管部门的,评审后报主管部门审核批准;跨省或者全国统一联网运行的网络由行业主管部门统一拟定安全保护等级,统一组织定级评审。行业主管部门可以依据国家标准规范,结合本行业网络特点制定行业网络安全等级保护定级指导意见。
等保2.0解读
等保2.0解读信息安全等级保护 1.0:以GB17859-1999《计算机信息系统安全保护等级划分准则》为根标准;以GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》为基础标准;习惯将《基本要求》的2008版本及其配套规范标准称为等保1.0。
网络安全等级保护 2.0:2014年开始制定2.0标准,修订了通用安全要求,增加了云计算、移动互联、工控、物联网等安全扩展要求。
2019年5月13日发布;2019年12月1日开始实施。
名称变化:原来:《信息系统安全等级保护基本要求》改为:《信息安全等级保护基本要求》再改为:(与《网络安全法》保持一致)《网络安全等级保护基本要求》主要标准文件:网络安全等级保护条例(总要求/上位文件)计算机信息系统安全保护等级划分准则(GB 17859-1999)(上位标准)网络安全等级保护实施指南(GB/T25058)(正在修订)网络安全等级保护定级指南(GB/T22240)(正在修订)★网络安全等级保护基本要求(GB/T22239-2019)★网络安全等级保护设计技术要求(GB/T25070-2019)★网络安全等级保护测评要求(GB/T28448-2019)★网络安全等级保护测评过程指南(GB/T28449-2018)等保2.0的“变与不变”:“不变”:等级保护“五个级别”不变:1自主保护级;2 指导保护级;3 监督保护级;4 强制保护级;5 转控保护级等级保护“五个阶段”不变:1定级;2备案;3安全建设和整改;4信息安全等级测评;5信息安全检查等级保护“主体职责”不变:公安机关;国家保密工作部门;国家密码管理部门;工业和信息化部门为职能部门“变”:法律法规变化:不开展等级保护等于违法!并要承担相应的法律后果标准要求变化:使用新技术的信息系统需要同时满足“通用要求+安全扩展”的要求“优化”通用要求,删除了过时的测评项(增加云计算、工控、移动互联、物联网安全要求)安全体系变化:从被动防御的安全体系向事前预防、事中响应、事后审计的动态保障体系转变实施环节变化:系统定级必须经过专家评审和主管部门审核测评达到75分以上才算基本符合要求对象变化:原来:信息系统改为:等级保护对象(网络和信息系统)安全等级保护的对象包括网络基础设施(广电网、电信网、专用通信网络等)、云计算平台/系统、大数据平台/系统、物联网、工业控制系统、采用移动互联技术的系统等.安全要求变化:原来:安全要求改为:安全通用要求和安全扩展要求安全通用要求是不管等级保护对象形态如何必须满足的要求,针对云计算、移动互联、物联网和工业控制系统提出了特殊要求,称为安全扩展要求.章节结构的变化:8 第三级安全要求8.1 安全通用要求8.2 云计算安全扩展要求8.3 移动互联安全扩展要求8.4 物联网安全扩展要求8.5 工业控制系统安全扩展要求分类结构变化:结构和分类调整为:(2017试用稿)技术部分:物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全;管理部分:安全策略和管理制度、安全管理机构和人员、安全建设管理、安全运维管理技术部分:(正式发布稿)安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心管理部分:安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理新等级保护的特点:1.基本要求、测评要求和技术要求框架统一,安全管理中心支持下的三重防护结构框架2.通用安全要求+新型应用安全扩展要求,将云计算、移动互联、物联网、工业控制等列入标准规范3.把基于可信根的可信验证列入各级别和各环节的主要功能要求新等级保护建设的核心思想:信息系统的安全设计应基于业务流程自身特点,建立“可信、可控、可管”的安全防护体系,使得系统能够按照预期运行,免受信息安全攻击和破坏。
等保2.0详细解读
• 系统损害对客体的侵害程度 • 损害、严重损害、特别严重损害
保护对象受到破坏时 受侵害的客体
公民、法人和其他组 织的合法权益
社会秩序、公共利益
国家安全
一般损 害
第一级
对客体的侵害程度
严重损害
特别严重损害
第二级
第三级
第二级 第三级
Hale Waihona Puke 第三级 第四级不合格
等保测评 选择第三方测评机构进行测评。其 中对于新建系统可在试运行阶段进
行测评。
提交报告 系统运营、使用单位向地级以上市公安机关报测评报告 。项目验收文档中也须含有测评报告。
合格
等保测评 定期选择第三方测评机构进行测评 。三级系统每年至少一次,四级系
统每半年至少一次。
不合格
定级、备案与复查
• 信息系统安全保护等级的定级要素
• 方法指导类
• GB/T25058-2010《信息安全技术 信息系统安全等级保护实施指南》 • GB/T25070-2010《信息系统等级保护安全设计技术要求》等
• 状况分析类
• GB/T28448-2012《信息安全技术 信息系统安全等级保护测评要求》 • GB/T28449-2012《信息安全技术 信息系统安全等级保护测评过程指南》等
• 评测周期
• 由原先四级系统每半年需要复查一次改为三级以上系统一年复查一次
• 要求分类精简
• 把管理要求和通用要求纳入到技术要求中 • 分类由10类改为8类
• 控制点和要求项变化
通用要求分类
控制点对比
详细要求项对比
等保解决方案示例(深信服)
追求人生的美好! 我们的共同目标!
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
等保定级
依据国家等级保护制度监管的十六字方案要求:自主定级、专家 评审、主管部门审批和公安机关监督,补充和完善后的定级流程 为:1、确定定级对象;2、初步确定等级;3、专家评审;4、主 管部门审核;5、公安机关备案审查
网络安全法的立法宗旨是为了保障网络安全、维护网络空间主权 和国家安全、社会公共利益、保护公民,法人和其他组织的合法 权益。因此修订后的定级指南,三级定义为:“等级保护对象受 到破坏后,会对公民、法人和其他组织的合法权益产生特别严重 损害,或者对社会秩序和公共利益造成严重损害,或者对国家安 全造成损害”
国家安全
第二级 第三级
第二级 第三级 第四级
第三级 第四级 第五级
等保1.0 五个规定动作
定级 备案 建设整改 等保测评 监督检查
等级保护内容
等保2.0内容
等级保护对象定级与备案
协助定级 评审
协助备案
总体安全规划
需求分析 总体设计 建设方案规划
局部调整
安全设计与实施
整体实施方案设计 H3C安全产品全覆盖 等保技术实现 等保管理实现
管理类 信息系统安全管理要求 信息系统安全工程管理要求
其他管理类标准
产品类 操作系统安全技术要求 数据库管理系统安全技术要求 网络和终端设备隔离部件技术要求
其他产品类标准
计算机信息系统安全保护等级划分准则(GB17859)
网络 安全 等级 保护
2.0 系列 标准
《网络安全等级保护定级指南》
《网络安全等级保护实施指南》
基线要求
信息系统安全等级保护基本要求的行业细则
信息系统安全等级保护基本要求(GB/T 22239-2008)
GBT 25070-2010
指保安信 南护全息
实等系 施级统
技安等信 术全级息 要设保系 求计护统
GBT 25058-2010
技术类 信息系统通用安全技术要求 信息系统物理安全技术要求
网络基础安全技术要求 其他技术类标准
理中心
备份与恢 复管理
外包软 件开发
云服 务商 选择
网络 安全 管理
安全 事件 处置
外部 人员 访问 管理
工程 实施
供应 链管 理
系统 安全 管理
应急 预案 管理
管理 要求
通过 制度 建设 与技 术辅 助方 式实 现
技术和管理要求扩展
技术要求
物理安全 网络安全 主机安全 应用安全 数据安全
管理要求
岗
人
位
员
授权和
沟通和
审核和
设
配
审批
合作
检查
置
备
人
人
人
员
员
员
录
离
考
用
岗
核
安全意 识教育 和培训
系统 定级
安全 方案 设计
产品采购 和使用
测试 验收
系统 交付
系统 备案
等级 测评
环境 管理
资产 管理
介质 管理
设备 管理
恶意代
码防范 管理
密码 管理
变更 管理
自行软 件开发
安全服 务商选
择
监控管理 和安全管
等级保护1.0标准体系
信息系统安全等级保护定级指南(GB/T 22240-2008)
信息系统安全等级保护行业定级细则
GB/T 28448-2012
安全等级
过保安信 要保安信
程护全息 指测等系 南评级统
求护全息 测等系 评级统
状况
信息系统安全等级
方法
分析
保护建设整改
指导
GB/T 28449-2012
网站类 平台类
生产业务类
认定标准
网络安全事件潜在影响
1)县级(含)以上党政机关网站。 2)重点新闻网站。 3)日均访问量超过100万人次的网站。 4)一旦发生网络安全事故,可能造成右边列影 响 之一的。 5)其他应该认定为关键信息基础设施。
1) 影响超过100万人工作、生活; 2) 影响单个地市级行政区30%以上人口的工作、生活; 3) 造成 超过100万人个人信息泄露; 4) 造成大量机构、企业敏感信息泄露; 5) 造成大量地理、人口、资源等国家基础数据泄露; 6) 严重损 害政府形象、社会秩序,或危害国家安全。
《网络安全等级保护设计技术要求第1部分:安全通用要求》 《网络安全等级保护设计技术要求第2部分:云计算安全扩展要求》 《网络安全等级保护设计技术要求第3部分:移动互联安全扩展要求》 《网络安全等级保护设计技术要求第4部分:物联网安全扩展要求》 《网络安全等级保护设计技术要求第5部分:工业控制系统安全扩展要求》 《网络安全等级保护设计技术要求第6部分:大数据安全扩展要求》
1)地市级以上政府机关面向公众服务的业务系统, 或与医疗、安防、消防、应急指挥、 生产调度、交 通指挥等相关的城市管理系统。 2)规模超过1500个标准机架的数据中心。 3)一旦发生网络安全事故,可能造成右边列影响 之一的。 4)其他应该认定为关键信息基础设施。
1) 影响单个地市级行政区30%以上人口的工作、生活; 2) 影响10万人用水、用电、用气、用油、取暖或交通出行等; 3) 导致5人以上死亡或50人以上重伤; 4) 直接造成5000万元以上经济损失; 5) 造成超过100万人个人信息泄露; 6) 造成大量机构、企业敏感信息泄露; 7) 造成大量地理、人口、资源等国家基础数据泄露; 8) 严重损害社会和经济秩序,或危害国家安全。
信息安全
网络安全
等级保护1.0
等级保护2.0
网络安全法与等级保护
第三十一条 国家公共通信和信息服务、能源、交通、 水利、金融、公共服务、电子政务等重要 行业和领域,以及 一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家 安全、国计民生、 公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。 国家互联网信息办公室《关键信息基础设施安全保护条例(征求意见稿)》已发布: ➢ 地市级以上人民政府应当将关键信息基础设施安全保护工作纳入地区经济社会发展总体规划,
01 等保1.0与2.0对比 02 云等保标准解读 03 等保项目运作 04 传统等保我们怎么做 05 云等保我们怎么做 06 等保实践
等保1.0与2.0对比
网络安全法与等级保护
第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安 全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改: (一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任; (二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施; (三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月; (四)采取数据分类、重要数据备份和加密等措施; (五)法律、行政法规规定的其他义务。
《网络安全等级保护测评要求第1部分:安全通用要求》 《网络安全等级保护测评要求第2部分:云计算安全扩展要求》 《网络安全等级保护测评要求第3部分:移动互联安全扩展要求》 《网络安全等级保护测评要求第4部分:物联网安全扩展要求》 《网络安全等级保护测评要求第5部分:工业控制系统安全扩展要求》 《网络安全等级保护测评要求第6部分:大数据安全扩展要求》
等级保护定级
等保定级
定级流程,GB/T22240-2008定级指南聚焦于如何从业务信息和 系统服务两个角度分析和确定定级对象的安全保护级别,并未完 整描述整个定级工作过程,在实际工作中可能导致备案单位缺漏 部分环节,影响定级结果的准确性
GB/T22240-2008定级指南中,将安全保护等级三级定义为:等 级保护对象受到破坏后,对社会秩序和公共利益造成严重损害, 或者对国家安全造成损害。因此,那些未对国家安全造成损害或 社会秩序和公共利益造成严重损害,但对法人或组织造成特别严 重损害的等级保护对象(如全国性集团公司的资金集中管理系统 ,大型互联网信息平台的统一运维管理系统等)将被确定为二级
安全管理制度 安全管理机构 人员安全管理 系统建设管理 系统运维管理
技术要求
物理和环境安全 网络和通信安全 设备和计算安全 应用和数据安全
管理要求
安全管理策略和制度 安全管理机构和人员 系统安全建设管理 系统安全运维管理
执行力度加强
执行力度
1994年国务院《中华人民共和国计算机信 息系统安全保护条例》 关于信息安全等级保护工作的实施意见 (公通字[2004]66号) 信息安全等级保护管理办法(公通字 [2007]43号)
《网络安全等级保护基本要求第1部分:安全通用要求》 《网络安全等级保护基本要求第2部分:云计算安全扩展要求》 《网络安全等级保护基本要求第3部分:移动互联安全扩展要求》 《网络安全等级保护基本要求第4部分:物联网安全扩展要求》 《网络安全等级保护基本要求第5部分:工业控制系统安全扩展要求》 《网络安全等级保护基本要求第6部分:大数据安全扩展要求》
等保合规自评
安全运行与维护
运行管控 变更管控 状态监控 服务商管控 等级测评 检查改进
信息安全等级保护制度由公安部主导,自 主建设为主,执行力度不够
执行力度
《中华人民共和国网络安全法》 第二十一条 国家实行网络安全等级保护 制度
网络领域的基础性法律,并在法律层面确 立了等级保护在网络安全领域的基础、核 心地位,不做等保就是违法
等级保护对象
等保对象
2003年,中办国办《国家信息化领导小组关于加强 信息安全保障工作的意见》指出,要重点保护基础 信息网络和关系国家安全、经济命脉、社会稳定等 方面的重要信息系统 这个定义就是网络安全法中的关键信息基础设施, 从1.0到2.0等保核心依然没有改变
等级保护定级
对客体的侵害程度