等保2 PPT.0解读
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
等保与《网络安全法》及应对思路
➢第二十一条
➢国家实行网络安全等级保护制度。网络运营者应当按 照网络安全等级保护制度的要求,履行下列安全保护 义务,保障网络免受干扰、破坏或者未经授权的访问, 防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络 安全负责人,落实网络安全保护责任;
管理策略的变化
围绕关键信息基础设施保护特点, 信息安全等级保护的管理策略也将发生相应变化。
自主定级、自主保护、监督指导 明确等级、增强保护、常态监督
保护方法的变化
从统一基线-到针对性保护 从基本安全-到相对安全
通用要求中的基本指标 行业标准的增加、增强指标 新技术、新应用的扩展指标 定级对象的特殊安全需求指标
全理设维环通计数略
级差:控制点的分布
及制机管境信算据和建运
备度构理安管设维
份全理和管
恢制人理
复度员
9812530650486471394方 要 计 差控 物网主应数安人系/二三四设 715面 求制 类 理络机用据全员统级备
安管建运和策
全理设维环通计数略
级差:控制项的分布
及制机管境信算据和建运
网不络基同础设等施、级信息的系安统、全大数保护对象
信息系统 据、云计算、物联网、移动互联
、工控系统等
重
危
要
害
程
程
度
度
第三级
组织方式:等保1.0
组织方式:等保2.0
1673594034698/方 要 计 差控 物网主应数安人系/二三四设/ 026137面 求制 类 理络机用据全员统级备
安管建运和策
移动互联应用、物联网应用和工业控制系统依据业务系统重要 性确定等级。
等级保护体系大升级
等保内容大不同
与时俱进的等级保护工作
运营使用单位/厂商
测评机构
监管机构
定级备案
建设整改
等级测评
监督检查
定级备案
建设整改 信息共享 态势感知 应急演练
。。。
等级测评 按需定制 线上线下 攻防对抗
。。。
监督检查·
Байду номын сангаас
等级保护2.0
围绕关键信息基础设施保护,信息安全等级保护制度进入新的历史阶段!
等级保护2.0时代 • 2.0时代,等级保护空前重要(我们要顺势而为)
2.0时代,等级保护制度上升为法律 2.0时代,等级保护对象大扩展 2.0时代,等级保护内容大不同 2.0时代,等级保护体系大升级
定级对象 信息系统
===标准历程=======
2014年初,公安部牵头组织信息技术新领域等级保护标准申报工作。 2015年初,标委会批准立项,建议形成基本要求和测评要求的系列标准。 2015年中,标委会批准设计要求修订立项,形成设计要求系列标准。 2017年初,草案经信安标委会投票通过,成为公开征求意见稿。4月推进为送审稿
定级对象大扩展
业务处理类对象 信息系统、工业控制系统、物联网系统等 基础服务类对象 网络、云服务平台、大数据分析平台等 数据资源类对象
《定级指南》修订
定级对象的扩展 定级方法的变化
定级方法的变化
云服务方的云平台与云租户的应用系统应分别定级,平台等级 不低于所承载的应用系统的安全保护等级。
(二)采取防范计算机病毒和网络攻击、网络侵入等 危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件 的技术措施,并按照规定留存相关的网络日志不少于 六个月;
(四)采取数据分类、重要数据备份和加密等措施; (五)法律、行政法规规定的其他义务。
➢第三十一条
➢国家对公共通信和信息服务、能源、交通、水利、金 融、公共服务、电子政务等重要行业和领域,以及其 他一旦遭到破坏、丧失功能或者数据泄露,可能严重 危害国家安全、国计民生、公共利益的关键信息基础 设施,在网络安全等级保护制度的基础上,实行重点 保护。关键信息基础设施的具体范围和安全保护办法 由国务院制定。
关键信息基础设施的安全保护等级 不低于第三级
违反《网络安全法》需承担相关法律责任
➢第五十九条
➢网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令 改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款;对直接 负责的主管人员处五千元以上五万元以下罚款。 ➢关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的 网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果 的,处十万元以上一百万元以下罚款;对直接负责的主管人员处一万元以上十万元以下罚款。
《网络安全法》部分执法案例
信息来源:“公安三所网络安全法律研究中心”微信公众号
等级保护工作实施流程
1.确定信息系统的安全防护等级, 形成定级报告。
5.向当地公安机关网监部门提交测评 报告,配合完成对信息安全等级保护 实施情况的检查。
4.委托具备测评资质的测评机构对 信息系统进行等级测评,形成正式 的测评报告。
等级保护发展历程简介
1994年-国务院147号令
第九条: 计算机信息系统实行安全 等级保护。
2003年-中办发27号文
信息安全保障纲领性文件。 第二条: 实行信息安全等级保护。
1999年-GB 17859
强制性标准: 规定了我国计算机信息系统 安全保护能力的五个等级。
2017年-《网络安全法》
第二十一条: 国家实行网络安全等级保护 制度。
大家有疑问的,可以询问和交流
可以互相讨论下,但要小声点
大家有疑问的,可以询问和交流
可以互相讨论下,但要小声点
核心变化:重点保障关键信息基础设施
保护需求变化
面对关键信息基础设施,等级保护《基本要求》需要创新发展: 适应新型的系统形态和网络架构 面对新技术新应用的扩展 使基本指标具有动态、可扩展性 从合规测评到CIIP安全状态评价
2.持定级报告和备案表到当地 公安机关网监部门进行备案。
3.参照信息系统当前等级要 求和标准,对信息系统进行 整改加固。
信息来源:中国网络安全等级保护网
等保2.0来了,业界重新洗牌, 大家都在同一起跑线上!
等保2.0标准发布情况介绍
1
等保2.0核心变化介绍
等级保护2.0时代
2016年10月10日,第五届等级保护大会在昆明召开,业界一致认为,本次大会的召开,标 志着等级保护进入2.0时代。