等级保护新标准(2.0)介绍
等级保护新标准(2.0)介绍
等级保护新标准(2.0)介绍等级保护新标准(2.0)介绍1. 引言等级保护新标准(2.0),是为了建立更为严格和全面的等级保护措施而制定的标准。
旨在介绍等级保护新标准的具体内容和实施细节,以便各相关部门和个人能够正确理解和有效执行等级保护新标准。
2. 目标等级保护新标准的目标是确保对敏感信息和关键资产的全面保护,降低信息安全风险,并提高组织的信息安全保护能力。
3. 主要内容3.1 等级保护分类体系等级保护新标准建立了一套全新的等级保护分类体系,将信息系统划分为多个安全等级,并对每个安全等级制定了相应的保护要求。
3.2 等级保护标准与评估根据等级保护标准与评估指南,对信息系统进行等级保护评估,并根据评估结果确定相应的等级保护等级。
3.3 等级保护技术要求针对不同的安全等级,确定了相应的技术要求,包括但不限于网络安全、服务器安全、应用软件安全等方面的要求。
3.4 等级保护管理要求确定了等级保护管理的基本要求,包括信息系统保护责任、组织架构和职责、安全培训与教育等方面的内容。
4. 附件所涉及的附件如下:附件1:等级保护分类体系图附件2:等级保护标准与评估指南附件3:等级保护技术要求详细清单附件4:等级保护管理要求说明5. 法律名词及注释涉及的法律名词及注释如下:1. 《网络安全法》:指中华人民共和国于年通过的网络安全方面的法律。
2. 《信息安全技术等级保护管理办法》:指中华人民共和国年颁布的信息安全方面的管理办法。
6. 实施中可能遇到的困难及解决办法在实施等级保护新标准过程中,可能会遇到以下困难及相应的解决办法:困难1:组织内部对等级保护概念理解不足。
解决办法:开展相关培训和宣传活动,提供必要的教育资源,加强组织内部对等级保护的理解和认知。
困难2:技术要求过于复杂,无法满足实际需求。
解决办法:根据实际情况,适当调整技术要求,确保要求的合理性和可行性。
困难3:缺乏专业的评估机构。
解决办法:鼓励和支持有能力的机构开展等级保护评估工作,同时加强对评估机构的监管和管理。
等级保护新标准(2.0)介绍
等级保护新标准(2.0)介绍等级保护新标准(2.0)介绍1. 引言等级保护新标准(2.0),是为了建立更为严格和全面的等级保护措施而制定的标准。
旨在介绍等级保护新标准的具体内容和实施细节,以便各相关部门和个人能够正确理解和有效执行等级保护新标准。
2. 目标等级保护新标准的目标是确保对敏感信息和关键资产的全面保护,降低信息安全风险,并提高组织的信息安全保护能力。
3. 主要内容3.1 等级保护分类体系等级保护新标准建立了一套全新的等级保护分类体系,将信息系统划分为多个安全等级,并对每个安全等级制定了相应的保护要求。
3.2 等级保护标准与评估根据等级保护标准与评估指南,对信息系统进行等级保护评估,并根据评估结果确定相应的等级保护等级。
3.3 等级保护技术要求针对不同的安全等级,确定了相应的技术要求,包括但不限于网络安全、服务器安全、应用软件安全等方面的要求。
3.4 等级保护管理要求确定了等级保护管理的基本要求,包括信息系统保护责任、组织架构和职责、安全培训与教育等方面的内容。
4. 附件所涉及的附件如下:附件1:等级保护分类体系图附件2:等级保护标准与评估指南附件3:等级保护技术要求详细清单附件4:等级保护管理要求说明5. 法律名词及注释涉及的法律名词及注释如下:1. 《网络安全法》:指中华人民共和国于年通过的网络安全方面的法律。
2. 《信息安全技术等级保护管理办法》:指中华人民共和国年颁布的信息安全方面的管理办法。
6. 实施中可能遇到的困难及解决办法在实施等级保护新标准过程中,可能会遇到以下困难及相应的解决办法:困难1:组织内部对等级保护概念理解不足。
解决办法:开展相关培训和宣传活动,提供必要的教育资源,加强组织内部对等级保护的理解和认知。
困难2:技术要求过于复杂,无法满足实际需求。
解决办法:根据实际情况,适当调整技术要求,确保要求的合理性和可行性。
困难3:缺乏专业的评估机构。
解决办法:鼓励和支持有能力的机构开展等级保护评估工作,同时加强对评估机构的监管和管理。
等保2.0主要标准-解释说明
等保2.0主要标准-概述说明以及解释1.引言1.1 概述概述随着信息技术的不断发展和日益普及,网络空间安全问题已经成为了一个全球性难题。
为了提高国家网络安全水平,我国推出了一系列的信息安全等级保护(等保)标准。
等保标准旨在规范和指导各类网络系统、设备和服务的安全建设与管理,以保护国家的核心信息基础设施和重要信息资源的安全。
在等保标准的演进过程中,等保2.0标准应运而生。
等保2.0标准是在等保1.0标准的基础上进一步完善和提升的,以适应网络安全形势的发展和应对新的威胁挑战。
本文将从等保2.0标准的角度,对其主要内容、应用与实施以及重要性进行深入探讨。
另外,还将对等保2.0标准存在的局限性进行分析,并展望其未来的发展方向。
通过阅读本文,读者可对等保2.0标准有一个全面的了解,从而更好地理解和应用这一标准,提升网络安全保障水平,推动我国网络安全事业的健康发展。
1.2 文章结构文章结构部分的内容可以包括以下几个方面:首先,简要介绍本文的组织结构。
本文主要分为三个部分,分别是引言、正文和结论。
每个部分都涵盖了等保2.0主要标准相关的内容,通过逐步展开的方式,从整体和细节两个层面深入探讨等保2.0主要标准的方方面面。
其次,详细说明引言部分的内容。
引言部分将提供该篇文章的背景信息以及对等保2.0主要标准的整体概述。
包括等保2.0标准的定义、由来和发展背景等内容,以便读者能够对本文所述的主题有一个基本的了解。
接着,阐述正文部分的内容和结构。
正文部分是本文的核心,将对等保2.0主要标准进行详细介绍。
主要分为两个子节:等保2.0标准的介绍和等保2.0标准的主要内容。
等保2.0标准的介绍将给出更具体的详细信息,包括标准的制定机构、标准的适用范围和目标等。
而等保2.0标准的主要内容将对标准的具体要求和指导进行详细解读,包括网络安全风险评估与等级划分、网络安全保护等级与技术要求等方面。
最后,简要说明结论部分的内容和意义。
等级保护2.0 三级 概述
等级保护2.0 三级概述等级保护2.0(等保2.0)是我国信息安全保障的基本制度,其三级标准是在法律法规的基础上,对信息系统安全、物理和环境安全、网络通信安全、设备和计算安全、应用和数据安全、安全管理、评估与审计、应急响应等方面提出的具体要求。
1. 法律法规基础:等保2.0三级依据国家法律法规和标准,对信息系统的合规性进行严格要求,确保信息系统符合法律法规的要求。
2. 信息系统安全:等保2.0三级对信息系统的安全性提出更高要求,包括信息的保密性、完整性和可用性等。
3. 物理和环境安全:等保2.0三级强调物理和环境安全,对物理访问控制、物理安全监测等提出具体要求。
4. 网络通信安全:等保2.0三级在网络通信安全方面要求建立完善的网络安全体系,包括网络隔离、入侵检测、漏洞扫描等。
5. 设备和计算安全:等保2.0三级对设备和计算安全提出要求,包括防病毒、身份认证、访问控制等。
6. 应用和数据安全:等保2.0三级要求应用和数据安全得到保障,包括数据加密、数据备份等。
7. 安全管理:等保2.0三级强调安全管理,要求建立完善的安全管理体系,包括安全组织、安全策略、安全制度等。
8. 评估与审计:等保2.0三级要求对信息系统进行定期的评估和审计,确保信息系统的安全性。
9. 应急响应:等保2.0三级要求建立完善的应急响应机制,包括应急预案、应急演练等。
10. 技术要求符合性验证:等保2.0三级还要求对各项安全技术要求进行符合性验证,确保各项安全措施的有效性。
11. 人员安全:等保2.0三级强调人员安全的重要性,包括对员工的安全培训、岗位管理以及权限管理等方面提出了具体要求。
12. 供应链安全:等保2.0三级要求对供应链安全进行管理,包括对供应商的评估、管理以及控制等方面提出了具体要求。
通过满足等级保护2.0三级的要求,组织可以有效地提高信息系统的安全防护能力,减少安全风险,保障业务的正常运行。
等级保护新标准(2.0)介绍
等级保护新标准(2.0)介绍等级保护新标准(2.0)介绍1. 简介本文档是关于等级保护新标准(2.0)的介绍。
该标准是为了加强信息安全等级保护,规范等级保护工作而制订的。
本标准以国家机密级别的保密需求为基础,结合相关法律法规和标准,制定了一系列可以实施的等级保护管理措施。
2. 合用范围合用于所有需要保护的信息系统和网络,包括政府机构、军队、企事业单位、金融机构、教育机构等。
3. 等级保护级别等级保护按照保护的信息系统的重要程度和保密需求,分为五个等级:一级、二级、三级、四级、五级。
其中,一级为最高等级,五级为最低等级。
4. 等级保护体系等级保护体系主要包括等级保护的组织、等级保护的管理、等级保护的技术和等级保护的评估四个方面。
其中等级保护的评估是整个体系的核心,它可以对等级保护管理的全过程进行监督和评估。
5. 等级保护管理措施等级保护管理措施主要包括等级保护的责任制、等级保护的人员管理、等级保护的物理安全、等级保护的网络安全、等级保护的应用安全等方面。
其中,等级保护的责任制是整个体系的核心,它明确了各级管理人员的职责和义务,保证了等级保护措施的实施。
6. 法律法规和标准等级保护涉及到多个法律法规和标准,包括《中华人民共和国保守国家秘密法》、《信息安全等级保护管理办法》、《信息安全技术等级保护基本要求》、《信息安全技术等级保护测评规范》等。
总结:1. 本文档所涉及简要注释如下:等级保护:对信息系统和网络进行分类和分级,并采取相应的安全保护措施,以确保信息系统和网络的安全。
等级保护体系:包括等级保护的组织、等级保护的管理、等级保护的技术和等级保护的评估四个方面,是确保等级保护有效实施的重要保障。
等级保护管理措施:包括等级保护的责任制、等级保护的人员管理、等级保护的物理安全、等级保护的网络安全、等级保护的应用安全等方面,是确保等级保护有效实施的具体措施。
2. 本文档所涉及的法律名词及注释:《中华人民共和国保守国家秘密法》:规定了国家秘密的保护范围和等级,确保国家秘密不被泄露。
等级保护2.0标准解读
等级保护2.0标准解读随着互联网技术的不断发展,人们对于个人信息保护的关注程度逐渐提升。
为此,我国相继出台了多项保护个人信息的法规和标准。
其中,等级保护2.0标准是其中重要的一项。
一、等级保护2.0标准的背景等级保护2.0标准是我国信息安全领域的一项重要标准,它的出台主要是针对当前信息环境下的数据泄露、跨界收集等问题,以及对于个人敏感信息保护的需要。
本标准对于政府、企业和个人都有一定的指导意义,是希望通过技术和管理手段来维护信息安全和保护用户个人信息。
二、等级保护2.0标准的主要内容1.等级分类等级保护2.0标准将信息系统按照不同的等级分类,具体分为四个等级。
通过等级分类,可以让用户直观地了解自己的信息系统安全等级,从而更好地保障个人信息的安全。
2.安全控制要求不同等级的信息系统,其保护措施的要求也不同。
等级保护2.0标准中详细列出了四个等级的信息系统所需要的安全控制要求,包括安全管理、物理安全、网络安全、数据安全、应用安全等方面。
其中每一个安全控制要求都有详细的说明和操作指南。
3.风险评估根据等级保护2.0标准,用户需要对自己所属的信息系统进行风险评估,并根据评估结果来采取相应的安全保护措施。
这个过程需要基于实际情况,适当评估信息系统的风险程度,以便在安全措施上精准地投入精力。
4.日志管理等级保护2.0标准要求对于信息系统的运行情况进行日志管理,以便及时发现异常情况并采取相应的措施。
同时,对于重要信息系统,需要开展安全监视和重要事件和安全事件的应急响应工作。
三、等级保护2.0标准实施的意义等级保护2.0标准的出台,对于保护个人信心和保障信息安全具有重要的意义。
它能够有效地帮助用户改善信息安全,保护个人信息的私密性和完整性。
同时,对于企业和政府也具有重要的指导意义,可以指导其科学地进行信息系统的规划和设计,保障信息安全。
四、等级保护2.0标准在实践中的运用等级保护2.0标准已经在我国得到广泛的应用,是保障信息安全方面的重要举措。
等级保护新标准(2.0)介绍
等级保护新标准(2.0)介绍【等级保护新标准(2.0)介绍】1. 引言等级保护是确保敏感信息的安全保密性和完整性的一种重要机制。
为了更好地适应信息时代的安全需求,我们团队开发了等级保护新标准(2.0)。
旨在详细介绍该标准的各项内容,包括概述、目标、要求、实施方法和考虑因素等。
2. 概述该标准旨在确保敏感信息在存储、传输和处理过程中的安全性,并提供一个明确的等级分类体系。
通过合理的等级划分和相应的保护策略,我们可以更好地保护敏感信息免遭未经授权的访问、篡改或泄露。
3. 目标等级保护新标准(2.0)的主要目标包括:- 提供一个全面的敏感信息保护框架。
- 确保敏感信息在存储、传输和处理过程中的安全性。
- 为不同组织提供灵活的等级划分和保护策略选择。
- 提高信息系统的安全性和可信度。
4. 要求4.1 安全等级划分本标准基于信息系统的安全需求对敏感信息进行了等级划分,包括至少五个安全等级,分别为最高级、高级、中级、低级和公共级。
4.2 保护策略每个安全等级都有相应的保护策略要求,包括但不限于:身份认证、访问控制、数据加密、安全审计等措施。
4.3 安全技术要求针对敏感信息的存储、传输和处理过程,本标准提出了一系列安全技术要求,包括密钥管理、防火墙设置、网络隔离等。
5. 实施方法本标准的实施方法分为三个阶段:5.1 等级划分组织需要根据自身的业务需求和信息系统特点,确定适当的安全等级划分。
5.2 保护策略选择根据不同安全等级的保护策略要求,组织需要选择合适的保护措施和技术措施。
5.3 安全技术实施组织需要在信息系统中实施相应的安全技术要求,确保对敏感信息的保护达到标准要求。
6. 考虑因素在实施过程中,需要考虑以下因素:- 信息系统的规模和复杂性。
- 安全投入和资源预算。
- 法律法规的要求。
- 外部环境的威胁和风险。
【文档结尾】1. 所涉及附件如下:- 附录A:等级保护新标准(2.0)详细解读- 附录B:等级保护新标准(2.0)实施指南- 附录C:等级保护新标准(2.0)安全技术要求2. 如下所涉及的法律名词及注释:- 法律名词1:注释- 法律名词2:注释- ...3. 如下在实际执行过程中可能遇到的困难及解决办法:- 困难1:解决办法- 困难2:解决办法- ...。
等级保护2.0标准解读
等级保护2.0标准解读引言等级保护是指对信息系统根据其重要程度和承载的信息类型进行分类,并根据其分类确定相应的技术和管理措施,以达到保护信息系统安全的目的。
等级保护2.0标准(以下简称标准)是中国国家信息安全等级保护测评中心(以下简称测评中心)发布的信息安全评价标准,通过对信息系统进行评估,为政府和企事业单位提供安全等级保护的指导和借鉴。
标准内容等级划分标准对信息系统安全分为5个等级,分别为A、B、C、D和E等级,等级越高,要求越严格。
根据应用场景和信息系统的特点,使用方可根据需要选择相应的等级进行评估和保护。
技术要求标准对于不同等级的信息系统,提出了相应的技术要求。
技术要求包括网络安全、系统安全、数据安全等方面的要求,并且对不同等级的信息系统要求不同。
例如,在网络安全方面,标准要求高等级信息系统采用多层次防护措施,包括网络入侵检测系统、防火墙、流量监测等;而低等级信息系统则要求基本的网络防护措施,如杀毒软件、防火墙等。
管理要求标准对等级保护的管理要求进行了明确。
管理要求包括安全管理组织、安全策略和规范、安全培训和意识教育等方面的要求。
管理要求的关键在于对等级保护的全生命周期和全链条进行管理,确保信息系统的安全保护工作得到有效的执行。
测评规程标准对信息系统的测评规程进行了详细描述。
测评规程包括等级划分、测评方案、测评方法、测评程序等方面的内容,确保测评工作的规范和有效性。
测评结果被用于评估信息系统的安全等级,并为信息系统提供相应的加固和改进建议。
使用指南标准的使用指南主要包括等级划分、技术要求、管理要求和测评规程的解读和应用。
使用方可根据自身信息系统的特点和需要,按照标准的要求进行评估和保护工作。
标准还提供了一些实施细则和指导,为使用方提供了实际操作的参考。
等级保护2.0标准是一项重要的信息安全评价标准,通过对信息系统的评估和保护,可以有效提高信息系统的安全性和可靠性。
标准的发布为政府和企事业单位提供了参考和指导,帮助其建立健全的信息安全管理体系,保护重要信息资产的安全。
等级保护2.0标准解读
等级保护2.0标准解读等级保护2.0标准解读1. 简介等级保护2.0标准(以下简称DP-2.0)是指文档等级保护的新一代标准。
该标准在信息安全领域有着重要的作用,对于保护敏感信息、提高数据安全性具有重要意义。
本文将对DP-2.0标准进行详细解读。
2. DP-2.0标准的背景随着信息技术的不断发展和广泛应用,数据安全问题也日益突出。
为了保护信息安全,各类组织纷纷提出了不同的标准和措施。
DP-2.0标准作为新一代的等级保护标准,在防范各类信息安全威胁方面有着显著的优势。
3. DP-2.0标准的核心内容DP-2.0标准包括以下核心内容:3.1 安全等级划分DP-2.0标准将信息系统按照安全等级进行划分,分为一级、二级、三级三个等级。
不同等级对应不同的安全需求和保护措施,以确保数据的安全性。
3.2 关键要素保护DP-2.0标准明确了关键要素的保护要求,包括对密码、身份认证、访问控制等方面的保护措施,以防止关键要素的泄露和滥用。
3.3 安全审计与监控DP-2.0标准要求建立完善的安全审计与监控机制,及时发现和应对安全事件,保障信息系统的日常运行安全。
3.4 安全培训与管理DP-2.0标准强调安全培训与管理的重要性,要求定期进行安全培训,加强员工对信息安全的意识,提高整体的安全防护能力。
4. DP-2.0标准的应用DP-2.0标准适用于各类组织的信息系统,包括企事业单位、政府机关等。
通过遵循DP-2.0标准,组织可以更加全面地保护敏感信息,提高数据安全性,有效应对信息安全威胁。
5. DP-2.0标准的优势相较于以往的等级保护标准,DP-2.0标准具有以下优势:- 标准要求更加明确,有利于各类组织的实施和操作。
- 标准细化了关键要素的保护要求,对信息系统的安全性提出了更高的要求。
- 标准强调安全培训与管理的重要性,提高了组织的整体安全水平。
6. 结论DP-2.0标准作为新一代的等级保护标准,具有重要的意义。
通过遵循DP-2.0标准,组织可以更好地保护敏感信息,提高数据安全性,并有效地应对信息安全威胁。
等级保护2.0讲解
(二)采取防范计算机病毒和网络攻击、网络侵入等危害 网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技 术措施,并按照规定留存相关的网络日志不少于六个月;
第二十八页,共30页。
第三十四条 除本法第二十一条的规定外,关键信息基础设 施的运营者还应当履行下列安全保护义务:
网络运营者应当按照网络安全等级保护制度的要求履行下列安全保护义务保障网络免受干扰破坏或者未经授权的访问防止网络数据泄露或者被窃取篡改
等级保护2.0介绍
第一页,共30页。
什么是等级保护?
网络安全等级保护是指对国家重要信息、法人和其他组织及公民的专有信 息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全 保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中 发生的信息安全事件分等级响应、处置。
和集中分析;(新增)
e) 应对安全策略、恶意代码、补丁升级等安全相关
事项进行集中管理;
f) 应能对网络中发生的各类安全事件进行识别、报警
和分析。 (新增)
第十九页,共30页。
解读
1. 根据服务器角色和重要性,对网络进行安全域划分; 2. 在内外网的安全域边界设置访问控制策略,并要求配置
到具体的端口; 3. 在网络边界处应当部署入侵防范手段,防御并记录入侵
(一)设置专门安全管理机构和安全管理负责人,并对该 负责人和关键岗位的人员进行安全背景审查;
(二)定期对从业人员进行网络安全教育、技术培训和技 能考核;
(三)对重要系统和数据库进行容灾备份; (四)制定网络安全事件应急预案,并定期进行演练; (五)法律、行政法规规定的其他义务。
等级保护新标准(2.0)介绍
等级保护新标准(2.0)介绍等级保护新标准(2.0)介绍1. 引言旨在介绍等级保护新标准(2.0),该标准是为了提高信息系统安全等级保护水平而制定的。
将详细描述该标准的内容、要求和实施过程,以便用户能够准确理解和执行该标准。
2. 标准概述等级保护新标准(2.0)是基于先前版本的标准进行改进和完善而制定的,旨在更好地应对当前复杂多变的安全威胁形势。
该标准主要包含以下方面的内容:2.1 等级分类等级保护新标准(2.0)将信息系统按照其重要程度和风险级别分为四个等级:基础等级、一般等级、重要等级和核心等级。
每个等级都有相应的安全措施和要求。
2.2 安全要求针对不同等级的信息系统,等级保护新标准(2.0)规定了相应的安全要求。
这些安全要求涵盖了物理安全、网络安全、用户权限管理、数据保护等多个方面。
2.3 审计和评估等级保护新标准(2.0)要求对信息系统进行定期审计和评估,以确保其符合标准要求。
评估内容包括信息系统设计、安全措施执行情况及风险评估等。
3. 实施过程为了更好地执行等级保护新标准(2.0),以下是实施过程的详细步骤:3.1 确定信息系统等级根据信息系统的重要程度和风险级别,确定其所属的等级。
3.2 分析安全要求针对所确定的等级,分析对应的安全要求,了解需要采取哪些安全措施。
3.3 设计安全策略根据分析结果,制定详细的安全策略,包括物理安全、网络安全、用户权限管理等方面的措施。
3.4 实施安全措施按照设计的安全策略,逐步实施各项安全措施。
3.5 审计和评估定期对信息系统进行审计和评估,确保其符合标准要求。
4. 附件所涉及的附件如下:- 附件1:等级保护新标准(2.0)相关表格和模板- 附件2:等级保护新标准(2.0)实施指南5. 法律名词及注释所涉及的法律名词及注释如下:- 法律名词1:注释说明1- 法律名词2:注释说明2- 法律名词3:注释说明36. 可能遇到的困难及解决办法在实际执行过程中,可能会遇到以下困难:6.1 资源限制由于资源有限,可能无法同时满足所有等级的安全要求。
等级保护新标准(2.0)介绍【优质PPT】
• 以《GB17859 计算机信息系统安全保护等级划分准则 》、《GB/T22239-2008 信息安全技术 信 息系统安全等级保护基本要求 》为代表的等级保护系列配套标准,习惯称为等保1.0标准。
• 2003年,中央办公厅、国务院办公厅颁发《国家信息化领导小组关于加强信息安全保障工作的意 见》(中办发[2003]27号)明确指出“实行信息安全等级保护”。
• 2004-2006年,公安部联合四部委开展涉及65117家单位,共115319个信息系统的等级保护基础 调查和等级保护试点工作,为全面开展等级保护工作奠定基础。
4
等级保护发展历程与展望
等级保护2.0时代,将根据信息技术发展应用和网络安全态势,不断丰富制度内涵、拓展保护范围、完善监 管措施,逐步健全网络安全等级保护制度政策、标准和支撑体系。
等级保护上升为法律
《中华人民共和国网络安全法》第21条规定“国家实行 网络安全等级保护制度”,要求“网络运营者应当按照网络 安全等级保护制度要求,履行安全保护义务”;第31条规定 “对于国家关键信息基础设施,在网络安全等级保护制度的 基础上,实行重点保护”。
5
1
等级保护发展历程与展望
2
等级保护2.0标准体系
√
3
等级保护2.0基本要求解析
4
等级保护2.0扩展要求解析
2021/5/27
6
等级保护2.0标准体系
GB 17859-1999 《计算机信息系统安全保护等级划分准则》
《《《《《《
信 息 系 统 安 全 等 级 保 护 定 级 指 南 》
等级保护新标准(2.0)介绍
等级保护新标准(2.0)介绍等级保护新标准(2.0)介绍1. 引言本文档旨在介绍等级保护新标准(2.0),该标准作为一个全面的等级保护框架,可以匡助组织在处理敏感信息时确保一定的安全水平。
该标准包含了涉及的流程、要求和最佳实践,以及可能遇到的艰难和解决办法。
2. 背景随着信息技术的迅速发展,组织面临越来越多的信息安全挑战。
等级保护新标准(2.0)旨在提供一套统一、综合的信息安全等级管理方法,匡助组织达到保护敏感信息的最低安全要求。
3. 等级保护新标准(2.0)的主要内容3.1 标准的合用范围3.2 定义和术语3.3 等级保护框架3.3.1 等级保护目标3.3.2 等级保护要求3.3.3 等级保护控制措施3.3.4 等级保护评估3.3.5 等级保护认证3.3.6 等级保护追溯3.4 实施指南3.4.1 等级保护框架应用步骤 3.4.2 等级保护控制选择3.4.3 等级保护评估方法3.5 监管要求3.5.1 政府监管机构要求3.5.2 安全认证/评估机构要求3.5.3 行业监管要求4. 附件本文档所涉及的附件如下:附件A:等级保护目标详细说明附件B:等级保护要求清单附件C:等级保护控制措施指南附件D:等级保护评估流程图附件E:等级保护认证申请模板5. 法律名词及注释本文档所涉及的法律名词及注释如下:1. 数据保护法:指对个人数据进行保护的法律法规。
2. 信息安全法:指规范信息安全管理和保护的法律法规。
3. 网络安全法:指规范网络安全管理和保护的法律法规。
6. 实施过程中可能遇到的艰难及解决办法6.1 艰难:组织对等级保护新标准(2.0)的理解有偏差,导致实施过程中存在分歧。
解决办法:通过开展培训和沟通,确保组织对标准要求有清晰的理解,并制定统一的实施计划和指导文件。
6.2 艰难:组织缺乏相关技术和经验,无法有效评估和管理等级保护控制措施的实施情况。
解决办法:寻求专业的安全认证/评估机构的支持,进行评估和建议,同时加强内部能力建设,提高组织在信息安全管理方面的能力。
等保2.0标准介绍
等保定级对象(以云计算中心为例)
系统定 级对象
云上系 统安全 由客户
负责
平台定 级对象
云平台 安全由 云服务 商负责
云服务方和云租户对计算资源拥有不同的控制范围,控 制范围则决定了安全责任的边界。
云计算系统与传统信息系统保护对象差异
层面
云计算系统保护对象
传统信息系统保护对象
物理和环境安全 机房及基础设施
GB/T25070.1-XXXX 安全通用要求 GB/T25070.2-XXXX 云计算安全要求 GB/T25070.3-XXXX 移动互联安全要求 GB/T25070.4-XXXX 物联网安全要求 GB/T25070.5-XXXX 工业控制安全要求
等保2.0由一个单一标准演变为一个系列标准
等级保护安全框架
技术要求
安全通信 网络
网络架构
安全区域 边界
访问控制
入侵防范
安全审计
安全计算 环境
身份鉴别
访问控制
入侵防范 镜像和快照
保护 数据完整性和
保密性 数据备份恢复
剩余信息保护
GB/T 22239.2云计算安全扩展要求细则
安全管理中心 集中管控
管理要求
安全建设管理 云服务商选择
供应链管理
安全运维 管理
云计算环境 管理
应用和数据安全
应用系统、云应用开发平台、中间件、 应用系统、中间件、配置文 云业务管理系统、配置文件、镜像文件、件、业务数据、用户隐私、 快照、业务数据、用户隐私、鉴别信息 鉴别信息等 等
系统安全建设管 云计算平台接口、云服务商选择过程、 N/A
理
SLA、供应链管理过程等
目录
1 概述
2 安全通用要求 3 云计算安全扩展要求 4 移动互联安全扩展要求 5 物联网安全扩展要求 6 工业控制安全要求
等级保护新标准(2.0)介绍
等级保护新标准(2.0)介绍等级保护新标准(2.0)介绍1. 引言旨在介绍等级保护新标准(2.0)的内容及执行方法,以提供相关参考和指导。
该标准是为了保护敏感信息的安全性和机密性,确保信息的合规性和可靠性而制定的。
2. 标准概述等级保护新标准(2.0)涵盖了以下主要内容:2.1 安全等级划分2.2 等级保护措施2.3 安全评估和认证3. 安全等级划分3.1 等保1级3.2 等保2级3.3 等保3级3.4 等保4级4. 等级保护措施4.1 安全管理措施4.2 安全技术措施4.3 安全测试和应急响应5. 安全评估和认证5.1 评估要求和流程5.2 评估报告和认证证书6. 附件所涉及的附件如下:6.1 附件1:等保1级具体要求6.2 附件2:等保2级具体要求6.3 附件3:等保3级具体要求6.4 附件4:等保4级具体要求6.5 附件5:评估报告模板6.6 附件6:认证证书样例7. 法律名词及注释所涉及的法律名词及注释如下:7.1 信息安全法7.2 数据保护法7.3 电子商务法8. 可能遇到的困难及解决办法在实际执行过程中,可能会遇到以下困难:8.1 人员培训和落实难题解决办法:加强培训力度,制定明确的培训计划和考核机制。
8.2 技术更新和改进难题解决办法:定期进行技术检查,及时介入更新和改进工作。
8.3 安全漏洞和攻击风险解决办法:加强安全监控和漏洞修补,及时应对安全风险。
以上即为等级保护新标准(2.0)的详细介绍。
如需更多详细信息,请参阅相关附件以及法律名词及注释部分。
在执行过程中若遇到任何困难,请参考困难及解决办法章节进行解决。
附件:1. 附件1:等保1级具体要求2. 附件2:等保2级具体要求3. 附件3:等保3级具体要求4. 附件4:等保4级具体要求5. 附件5:评估报告模板6. 附件6:认证证书样例法律名词及注释:1. 信息安全法:指《中华人民共和国网络安全法》。
2. 数据保护法:指《中华人民共和国个人信息保护法》。
等保2.0
等保2.0引言等保2.0是指信息系统安全等级保护的第二代标准,是我国针对信息系统安全等级保护的一项重要规范。
随着信息化技术的快速发展,网络安全问题日益突出,为了保护国家信息系统的安全,等保2.0标准应运而生。
等保2.0的背景在信息化时代,网络安全问题日益严重。
黑客攻击、病毒传播、数据泄露等问题频频发生,给个人、企业甚至国家的信息系统带来了巨大的风险。
为了规范信息系统安全保护的实施,我国于2012年发布了《信息安全技术中国保密技术信息系统安全等级保护》标准,即等保1.0。
然而,随着网络安全形势的不断演变和技术的不断发展,等保1.0已经无法满足现代信息系统安全保护的需要。
因此,国家信息安全等级保护标准工作组在等保1.0的基础上制定了等保2.0标准。
等保2.0的特点1. 强调风险管理等保2.0相比于等保1.0更加重视风险管理。
它要求对信息系统的风险进行全面、系统的分析和评估,并采取相应的措施进行风险治理。
通过对信息系统的风险进行有效的管理,可以最大程度地保护信息系统的安全。
2. 强调持续监测等保2.0要求信息系统的安全保护应具备持续监测的能力。
通过监测安全事件、网络流量、系统性能等指标,及时发现并处理信息系统的异常行为。
持续监测可以帮助发现潜在威胁,及时采取措施防范风险的发生。
3. 强调技术创新等保2.0鼓励技术创新,要求在信息系统安全保护中积极应用新兴技术。
例如,人工智能、区块链、云计算等新技术可以在等保2.0的实施中发挥重要作用,提高信息系统的安全性和效率。
等保2.0的实施步骤1. 信息系统分类根据等保2.0的要求,首先需要对信息系统进行分类。
等保2.0将信息系统分为多个等级,根据信息系统的重要性和使用环境进行划分。
2. 风险评估根据信息系统的等级,进行相应的风险评估。
通过对信息系统的风险进行评估,可以确定信息系统的安全保护需求,为后续的安全保护措施提供依据。
3. 安全策略制定根据风险评估结果,制定相应的安全策略。
等保2.0标准介绍
等保2.0标准介绍等保2.0标准介绍一、等保2.0标准概述等保2.0标准是中国国家信息安全等级保护推进委员会发布的新一代信息安全等级保护标准。
该标准主要针对网络安全领域的风险评估、安全等级评定和安全保障措施制定,提出了严格的要求和标准,是信息安全技术管理领域的重要规范。
二、等保2.0标准内容概述等保2.0标准共分为17个安全等级,分别涵盖了国家级、重要部门、重点领域和一般领域等四个等级。
同时,该标准还针对基础设施、应用系统和云计算三大类进行了详细的安全要求和控制措施规定,包括信息安全安全评估、安全管理、风险管理、安全技术、保密管理、安全事件管理等方面。
三、等保2.0标准实施意义等保2.0标准的发布,将有效提高我国网络安全的整体水平和保护能力,推动我国信息安全从单一技术手段防护向全方位综合防护转变。
对于增强我国信息安全防护能力,促进信息化发展和中国数字经济的高质量发展都具有重大的意义。
四、本文档涉及注释1. 等保:信息安全等级保护,是国家信息安全保护的一项重要制度。
该制度分为四个等级,包括国家级、重要部门、重点领域和一般领域。
2. 安全等级:根据风险评估的结果,对信息系统的安全等级进行划分,包括一级安全、二级安全、三级安全、四级安全。
五、本文档涉及的法律名词及注释1.《中华人民共和国网络安全法》:是中国于2016年颁布的网络安全法律法规,主要涉及网络安全的基本法律制度、网络安全保护的组织体系、网络安全的技术措施和安全事件的应急处理等方面。
2.《信息安全技术个人信息安全规范》:是国家信息安全标准化技术委员会发布的个人信息安全标准,主要涉及个人信息的标识、采集、使用、存储、共享、转移和销毁等方面。
等级保护新标准(2.0)介绍
等级保护新标准(2.0)介绍【等级保护新标准(2.0)介绍】1. 简介等级保护是一种信息安全保护的手段,通过划分不同的等级来实现数据的安全保密、完整性和可用性。
等级保护新标准(2.0)是在原有标准基础上进行了改进和完善。
2. 标准概述等级保护新标准(2.0)主要包括以下几个方面的内容:2.1. 新增等级分类根据信息系统的安全等级要求,将等级分为基础等级、一般等级、重要等级和核心等级等四个等级。
2.2. 安全要求根据不同的等级,定义了相应的安全要求,包括但不限于身份认证、访问控制、数据传输加密、弱密码禁用等。
2.3. 安全评估对信息系统进行安全评估,根据评估结果划定系统的安全等级,并制定相应的安全防护措施。
2.4. 安全保障技术介绍了一系列安全保障技术,包括网络安全技术、数据库安全技术、身份认证技术、加密技术等,用于实现等级保护的安全要求。
3. 附件列表所涉及的附件如下:- 附件1:等级保护新标准(2.0)全文- 附件2:等级保护新标准(2.0)示例评估报告- 附件3:等级保护新标准(2.0)安全要求清单4. 法律名词及注释所涉及的法律名词及注释如下:- 法律名词1:注释1- 法律名词2:注释2- 法律名词3:注释35. 执行过程中可能遇到的困难及解决办法在实际执行过程中,可能会遇到以下困难及相应的解决办法:5.1. 困难1:对等级划分存在争议,难以确定具体的安全等级划定。
解决办法:组织专家会商,参考相关标准和经验,共同制定划分等级的准则和方法。
5.2. 困难2:选取适当的安全保障技术,确保满足各个等级的安全要求。
解决办法:进行技术评估和比较,选择符合实际情况和需求的安全保障技术,并结合具体的系统特点进行定制化使用。
5.3. 困难3:在实施等级保护过程中,可能会遇到技术难题和操作问题。
解决办法:建立相应的技术支持和培训机制,及时解决实施中的问题,并提供必要的技术支持。
【所涉及附件】1、等级保护新标准(2.0)全文2、等级保护新标准(2.0)示例评估报告3、等级保护新标准(2.0)安全要求清单【所涉及的法律名词及注释】- 法律名词1:注释1- 法律名词2:注释2- 法律名词3:注释3【在实际执行过程中可能遇到的困难及解决办法】- 困难1:对等级划分存在争议,难以确定具体的安全等级划定。
等级保护2.0标准解读
等级保护2.0标准解读等级保护2.0标准解读1. 引言等级保护2.0标准是由国家信息安全评估标准化技术委员会(TC260)制定的,旨在规范和指导信息系统的等级保护工作。
本文将对等级保护2.0标准进行解读,帮助读者更好地理解标准的相关内容。
2. 等级保护2.0简介等级保护2.0是对原等级保护1.0标准的升级和完善。
它采用了更加严格和全面的评估体系,同时注重信息系统的动态管理和持续改进。
等级保护2.0标准主要包括等级划分、安全需求、评估方法、安全控制和评估规范等内容。
3. 等级划分等级划分是等级保护2.0标准中的核心概念。
根据信息系统的重要性和敏感性,将其划分为5个等级,依次为一级(最高)、二级、三级、四级和五级(最低)。
等级划分的目的是为了提供不同等级信息系统的安全要求和评估依据。
4. 安全需求安全需求是等级保护2.0标准对各个等级信息系统的安全要求和技术控制的详细规定。
安全需求包括基本需求和增强需求两部分。
基本需求是每个等级信息系统必须满足的最低安全要求,而增强需求是在基本需求的基础上对特定等级信息系统提出的额外要求。
5. 评估方法等级保护2.0标准规定了针对不同等级信息系统的评估方法。
评估方法主要包括目标评估和技术评估两个层面。
目标评估是通过对信息系统的目标进行评估,判断其是否满足相应等级的安全需求。
技术评估则是通过对技术控制的实施情况进行评估,验证信息系统的安全性和合规性。
6. 安全控制安全控制是等级保护2.0标准中的重要内容。
标准给出了一套完整的安全控制措施,用于保护信息系统的机密性、完整性和可用性。
安全控制主要包括物理安全、网络安全、访问控制、加密保护、安全运维和应急响应等方面。
7. 评估规范评估规范是对等级保护2.0标准进行实施评估的指导文件。
它提供了评估流程、评估要求、评估指标和评估方法等详细内容,帮助评估机构和评估人员开展评估工作。
评估规范的制定旨在确保评估结果的准确性和一致性。
8. 总结等级保护2.0标准作为我国信息系统安全领域的重要标准,对于保护信息系统的安全性和可靠性起到了重要作用。
等级保护新标准(2.0)介绍
等级保护新标准(2.0)介绍等级保护新标准(2.0)介绍1. 引言1.1 项目背景1.2 目的和范围1.3 目标受众2. 标准概述2.1 等级保护定义2.2 等级保护分类2.2.1 机密性等级2.2.2 完整性等级2.2.3 可用性等级3. 标准要求3.1 等级保护等级划分3.1.1 机密性等级划分要求3.1.2 完整性等级划分要求3.1.3 可用性等级划分要求3.2 等级保护控制要素3.2.1 物理安全要素3.2.2 逻辑安全要素3.2.3 人员安全要素3.3 等级保护评估方法3.3.1 等级保护评估流程3.3.2 评估模型与指标4. 系统实施4.1 系统规划和设计4.2 系统实施和配置4.3 系统测试和验证5. 系统运维和监控5.1 系统运维管理5.2 安全事件响应6. 等级保护培训和教育6.1 培训计划6.2 员工教育和意识提升7. 附录7.1 附件一:等级保护标准术语表7.2 附件二:等级保护评估模型7.3 附件三:等级保护流程图7.4 附件四:等级保护评估指标列表7.5 附件五:等级保护示例控制措施8. 参考文献所涉及附件如下:1. 附件一:等级保护标准术语表2. 附件二:等级保护评估模型3. 附件三:等级保护流程图4. 附件四:等级保护评估指标列表5. 附件五:等级保护示例控制措施所涉及的法律名词及注释如下:1. 机密性:指信息或系统仅限于授权人员访问和使用,对未经授权的人员具有保密性2. 完整性:指信息或系统在未接受未授权更改的情况下保持完全性和准确性3. 可用性:指信息或系统在需要时可及时访问和使用在实际执行过程中可能遇到的困难及解决办法如下:1. 困难:不同等级保护需求之间的冲突导致难以达到平衡。
解决办法:进行风险评估和权衡,根据实际情况进行适度的调整和平衡。
2. 困难:现有系统与等级保护标准的不兼容性。
解决办法:进行系统分析和改进,逐步更新系统以符合等级保护标准的要求。
3. 困难:员工对等级保护标准的理解和接受度不足。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
︽ 信 息 系 统 等 级 保 护 安 全 设 计 技 术 要 求 ︾
︽ 信 息 系 统 安 全 等 级 保 护 测 评 要 求 ︾
︽ 信 息 系 统 安 全 等 级 保 护 测 评 过 程 指 南 ︾
等级保护2.0标准体系
等保1.0 等保2.0
正式更名为网 络安全等级保 护标准;
横向扩展了对 云计算、移动 互联网、物联 网、工业控制 系统的安全要 求; 纵向扩展了对 等保测评机构 的规范管理。
等级保护体系将进行重大升级
2.0时代,主管部门将继续制定出台一系列政策法规和 技术标准,形成运转顺畅的工作机制,在现有体系基础上 ,建立完善等级保护政策体系、标准体系、测评体系、技 术体系、服务体系、关键技术研究体系、教育训练体系等 。
1
2 3
等级保护发展历程与展望
等级保护2.0标准体系
等级保护2.0基本要求解析
•
2.0系列标
准编制工作
•
•
•
以《GB17859 计算机信息系统安全保护等级划分准则 》、《GB/T22239-2008 信息安全技术 信 息系统安全等级保护基本要求 》为代表的等级保护系列配套标准,习惯称为等保1.0标准。 2013年,全国信息安全标准化技术委员会授权WG5-信息安全评估工作组开始启动等级保护新标 准的研究。 2017年1月至2月,全国信息安全标准化技术委员会发布《 网络安全等级保护基本要求》系列标准 、《 网络安全等级保护测评要求 》系列标准等“征求意见稿”。 2017年5月,国家公安部发布《GA/T 1389—2017 网络安全等级保护定级指南》、《GA/T 1390.2—2017 网络安全等级保护基本要求 第 2 部分:云计算安全扩展要求》等4个公共安全行业 等级保护标准。
( 注 : 基 于 2017 年等级保护标准系 列征求意见稿) 未变化 修订内容 新增
等级保护2.0标准体系
等保1.0 等保2.0
公安部已于2017年5月率先发布《网络安全等级保护定级指南》、《网络安全等级保护基本要求 第5部分:工业 控制系统安全扩展要求》等4个行业标准。
GA/T 1389—2017《信息安全技术 网络安全等级保护定级指南》 在国标《信息安全等级保护定级指南》的基础上细化优化了对客体侵害事项、侵害程度的定义,确定了对基础信息网络、工业控制 系统 、云计算平台 、物联网、采用移动互联技术的信息系统 、大数据等对象的定级原则,进一步明确了定级过程中专家审查、主管 部门审核、公安机关备案审查等节点的管理要求。
等级保护2.0定级要求解析
定级要求
① 定级要求
重新对部分内容的顺序作了调整,从整体显得更加的合理。 增加了新的内容和流程,例如扩展了定级的对象,包括基础信息网络、工业控制系统、云计算平台、物联网、其他信息系统、 大数据等;新增加的流程为“定级工作一般流程”,并对旧版本“定级一般流程”更名为“定级方法流程”。
等级保护2.0定级要求解析
定级要求
③ 定级对象
重新对定级对象进行调整,并进行相应的介绍。 2.0定级对象分为基础信息网络、信息系统和其他 信息系统,其中信息系统再细分为工业控制系统 、物联网、大数据、移动互联以及云计算平台。
新增定级流程
定级对象
工业控制系统 工业控制系统主要由生产管理层、现场设备 层、现场控制层和过程监控层构成,其中: 生产管理层的定级对象确定原则见(其他信 息系统)。设备层、现场控制层和过程监控 层应作为一个整体对象定级,各层次要素不 单独定级。 对于大型工业控制系统,可以根据系统功能 、控制对象和生产厂商等因素划分为多个定 级对象。 物联网 物联网应作为一个整体对象定级,主要包括 感知层、网络传输层和处理应用层等要素。
定级对象的运营、使用单位应按照相关管理规定,将初步定级结果提交公 安机关进行备案审查,审查不通过,其运营使用单位应组织重新定级;审 查通过后最终确定定级对象的安全保护等级。
注:基于GA/T 1389—2017《网络安全等级保护定级指南》及GB/T 22240—2008《信息系统安全等级保护定级指南》内容对比分析。
2010-2016 工作规模推进
• •
等级保护发展历程与展望
等保1.0时代 等保2.0工作 展望
• 重要标志 •
2016年10月10日,第五届全国信息安全等级保护技术大召开,公安部网络安全保卫局郭启全总工 指出“国家对网络安全等级保护制度提出了新的要求,等级保护制度已进入2.0时代”。 2016年11月7日,《中华人民共和国网络安全法》正式颁布,第二十一条明确“国家实行网络安全 等级保护制度……”
等级保护上升为法律
《中华人民共和国网络安全法》第21条规定“国家实行 网络安全等级保护制度”,要求“网络运营者应当按照网络 安全等级保护制度要求,履行安全保护义务”;第31条规定 “对于国家关键信息基础设施,在网络安全等级保护制度的 基础上,实行重点保护”。
等级保护工作内容将持续扩展
在定级、备案、建设整改、等级测评和监督检查等规定 动作基础上,2.0时代风险评估、安全监测、通报预警、案 事件调查、数据防护、灾难备份、应急处置、自主可控、 供应链安全、效果评价、综治考核等这些与网络安全密切 相关的措施都将全部纳入等级保护制度并加以实施。
等级保护新标准(2.0)介绍
1
2 3
等级保护发展历程与展望
等级保护2.0标准体系
等级保护2.0基本要求解析
4
等级保护2.0扩展要求解析
等级保护发展历程与展望
等保1.0时代 等保2.0工作
• 1994-2003 政策环境营造 •
展望
1994年,国务院颁布《中华人民共和国计算机信息系统安全保护条例》,规定计算机信息系统实 行安全等级保护。 2003年,中央办公厅、国务院办公厅颁发《国家信息化领导小组关于加强信息安全保障工作的意 见》(中办发[2003]27号)明确指出“实行信息安全等级保护”。
4
等级保护2.0扩展要求解析
等级保护2.0标准体系
等保1.0 等保2.0
GB 17859-1999 《计算机信息系统安全保护等级划分准则》
︽ 信 息 系 统 安 全 等 级 保 护 定 级 指 南 ︾
︽ 信 息 系 统 安 全 等 级 保 护 基 本 要 求 ︾
︽ 信 息 系 统 安 全 等 级 保 护 实 施 指 南 ︾
等级保护发展历程与展望
等保1.0时代 等保2.0工作 展望
等级保护2.0时代,将根据信息技术发展应用和网络安全态势,不断丰富制度内涵、拓展保护范围、完善监 管措施,逐步健全网络安全等级保护制度政策、标准和支撑体系。 等级保护对象将不断拓展
随着云计算、移动互联、大数据、物联网、人工智能 等新带来大数据价值的凸显,等 保保护对象的外延将不断拓展。
新增定级流程
定级对象
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严 重损害,或者对国家安全造成损害。
第三级,等级保护对象受到破坏后,会对公民、法人和其他 组织的合法权益产生特别严重损害,或者对社会秩序和公共 利益造成严重损害,或者对国家安全造成损害;
1.0 要 求
定级一般流程;
2.0 要 求
1.0 要 求
信息系统 一个单位内运行的信息系统可能比 较庞大,为了体现重要部分重点保 护,有效控制信息安全建设成本, 优化信息安全资源配置的等级保护 原则,可将较大的信息系统划分为 若干个较小的、可能具有不同安全 保护等级的定级对象。
2.0 要 求
采用移动互联技术的信息系统 采用移动互联技术的等级保护对象应作为一 个整体对象定级,主要包括移动终端、移动 应用、无线网络以及相关应用系统等。 大数据 应将具有统一安全责任单位的大数据作为一 个整体对象定级, 或将其与责任主体相同 的相关支撑平台统一定级。
注:基于GA/T 1389—2017《网络安全等级保护定级指南》及GB/T 22240—2008《信息系统安全等级保护定级指南》内容对比分析。
云计算平台 在云计算环境中,应将云服务方侧的云计算平台单 独作为定级对象定级, 云租户侧的等级保护对象也 应作为单独的定级对象定级。 对于大型云计算平台,应将云计算基础设施和有关 辅助服务系统划分为不同的定级对象。
基础信息网络 对于电信网、广播电视传输网、互联网等基础信息 网络,应分别依据服务类型、服务地域和安全责任 主体等因素将其划分为不同的定级对象。 跨省全国性业务专网可作为一个整体对象定级,也 可以分区域划分为若干个定级对象。 其他信息系统 作为定级对象的其他信息系统应具有如下基本特征 : a) 具有确定的主要安全责任单位。作为定级对象的 信息系统应能够明确其主要安全责任单位; b) 承载相对独立的业务应用。 作为定级对象的信息 系统应承载相对独立的业务应用, 完成不同业务目 标或者支撑不同单位或不同部门职能的多个信息系 统应划分为不同的定级对象; c) 具有信息系统的基本要素。 作为定级对象的信息 系统应该是由相关的和配套的设备、 设施按照一定 的应用目标和规则组合而成的多资源集合,单一设 备(如服务器、终端、网络设备等)不单独定级。
GA/T 1390.5—2017 《信息安全技术 网络安全等级保护基本要求 第 5 部分:工业控制系统安全扩展要求》
分析了工业控制系统的层次模型、区域模型,提出了工业控制系统安全域划分和保护的主要原则。并从物理提示标志、网络非必要 通信控制、系统时间戳等技术方面,以及工控系统管理员/工控网络管理员/工控安全管理员岗位设置、工控设备的版本号漏洞控制等 管理方面进行了规定。
GA/T 1390.2—2017《信息安全技术 网络安全等级保护基本要求 第 2 部分:云计算安全扩展要求》
针对云计算架构的特点,对云计算环境下的物理位置、虚拟化网络、虚拟机、云服务方、云租户、虚拟镜像等技术保护要求,以及 云服务商选择、SLA协议、云安全审计等安全管理要求进行了规定。 GA/T 1390.3—2017 《信息安全技术 网络安全等级保护基本要求 第 3 部分:移动互联安全扩展要求》 针对移动互联网系统中移动终端、移动 应用和无线网络等三个关键要素,明确了无线接入设备的安装选择、无线接入网关处理能 力、非授权移动终端接入等技术保护要求,以及应用软件分发运营商选择、移动终端应用软件恶意代码防范等管理要求进行了规定。