《网络安全等级保护定级指南》专家解读
2020年新版《等级保护定级指南》多了哪些要求?
专家评审如何开展?
第一、公安网安主管部门工作人员,一般情况下为了避嫌,是异地网安人员参与评审; 第二,测评机构持证工作人员,他们长年在一线进行等保工作,他们接触了很多系统,对 标准对系统情况比较熟悉,他们适合当等保定级专家,这里建议测评机构的评审专家资质 应为:中、高级测评师,他们的工作经验相对初级测评师来说较为丰富; 第三,相关网络安全专家,这里就比较广泛,比如各个单位信息中心或者网络安全的负责 人,行业主管部门负责网络安全的人员,高校负责网络安全、计算机等教学人员,这些专 家也都行,他们长年从事信息化特别是网络安全工作,经验也较为丰富,如果自身负责过 或指导过本单位等保工作开展的那就更好。
等级保护对象范围
0 2
等保定级需要进行专家评审
等保定级需要进行专家评审
等保定级需要进行专家评审
从图中可以看到,定级需要进行专家评审,那么至此等保定级再也不是1.0的自主定级 了,而是需要规范进行定级。对于初步确定为第一级的等级保护对象,可不进行专家 家评审、主管部门核准和备案审核,所以一级系统不需要去公安网安部门进行备案, 但是这里需要提醒的是哪些是一级系统,通俗点说就是这个系统哪怕是坏了对别人的 影响都非常小的系统才是一级系统。定一级前,你们对照自己的系统看看是不是这样 的,但凡不是这样的,那么你的系统肯定是二级起步了。那么安全保护等级初步确定 为第二级及以上的等级保护对象,就需要组织专家评审、主管部门核准和备案审核, 最终确定其安全等级。
等级变更时需重新进行定级
当等级保护对象所处理的业务信息和系统服务范围发生变化,可能导致业务信息安 全和系统服务安全受到破坏后的受侵害客体和对客体的侵害程度发生变化时,需根 据本标准重新确定定级对象和安全保护等级。也就是等级需要变更时需要按照定级 指南重新开展定级,该请专家评审的请专家评审,该请行业主管部门审核的请行业 主管部门审核,再也不能随意进行等级的变更了。
新版网络安全等级保护定级指南解读
新版网络安全等级保护定级指南解读首先,新版网络安全等级保护定级指南明确了网络安全等级保护的基本原则,即依法依规、分类分级、动态管理、适度扩展的原则。
这意味着定级指南将遵循我国的法律法规,根据具体情况分类分级,并根据实际需求动态管理等级,以及适度扩展网络安全等级保护体系。
其次,新版定级指南明确了网络安全等级保护定级的目标。
目标主要包括信息系统运行安全、信息系统建设安全和信息系统运维安全。
通过建立适应不同安全需求的三个安全等级(分别是三级、四级和五级),定级指南为企事业单位提供了一套系统的网络安全评估和管理框架。
新版定级指南还对不同等级的网络安全要求进行了详细的规定。
例如,在信息系统运行安全方面,要求对网络运行环境、网络设备、网络传输、信息处理等方面进行合理控制和安全保护。
在信息系统建设安全方面,要求在网络设备选型、系统设计、系统开发、系统测试等方面严格按照安全要求进行规划和实施。
在信息系统运维安全方面,则要求建立健全的安全事件处理机制、日志记录和分析机制、数据备份和灾难恢复机制等。
值得注意的是,新版定级指南还增加了对云计算、物联网、大数据等新兴技术的网络安全要求。
这是对随着技术发展不断涌现的安全风险进行适应和应对的体现。
同时,新版定级指南也注重了创新能力和自主可控要求,这将对我国网络安全行业的发展起到积极的推动作用。
此外,新版网络安全等级保护定级指南还明确了相关管理要求。
例如,对于网络安全等级保护考核评估机构的要求,应具备相应的专业技术能力和独立性,并将其纳入国家网络安全等级保护考核评估机构名录管理。
另外,定级指南还要求企事业单位应按照国家相关要求,进行网络安全等级保护的自查和评估,并定期报告情况。
从以上解读来看,新版网络安全等级保护定级指南对于我国网络安全行业的发展具有重要的意义。
它为企事业单位提供了一个明确和规范的网络安全评估和管理框架,有助于促进我国网络安全水平的提升,保护国家信息安全。
同时,定级指南的出台也对网络安全等级保护考核评估机构提出了更高的要求,有助于推动我国网络安全行业的健康发展。
新版《网络安全等级保护定级指南》解读
数据资源类定级方法
对于大数据等定级对象,应综合考虑数据规模、数据价值等因素根 据 其在国家安全、经济建设、社 会生活中的重要程度,以及数据资 源 遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和 其 他组织的合法权益的危害程度等因素确定其安全保护等级。
1. 确定定级对象 2. 初步确定等级
自主定级 专 家评审 主管部门审 批 公安机关 监督
定级流程
3. 专家评审 4. 主管部门审核 5. 公安机关备案审查
1. 确定定级对象 2. 初步确定等级 3. 专家评审
定级对象的运营、使用单位应组织信息 安 全专家和业务专家,对初步定级结果 的合 理性进行评审, 出具专家评审意见。
为不同 的定级对象。
物联网应作为一个整体对象定级,主要包括感知层、网 络 传输层和处理应用层等要素。
区别在于:移动终端可以通过无线方 式 接入网络。
移动终端可以远程通过运营商基站或公共Wi-Fi 接入等级保护对象,也可以在本地通过本地无 线接 入设备接入等级保护对象;
系统通过移动管理系统的服务端软件向客户端 软件发送管理策略,并由客户端软件执行实现 系统 的安全管理。
基
传统信息系 统
等级保护对象
信息系统
云计算平台
础信息网络 大数据
采用移动互联 工业控制系统
物联网系统 技术信息系统
基础信息网 络
为信息流通、信息系统运行等起基础支撑作用的信息网络,包括电信网、广 播电视传输网、互联网、 业务专网等网络设备设施。
信息系统
由计算机和类计算机的软硬件及其相关的和配套的设备、设施构成的,按照 一定的应用目标和规则 进行信息处理或过程控制的资源集合。 注:资源可以是物理设备,也可以是虚拟设备。
新版网络安全等级保护定级指南解读
新版网络安全等级保护定级指南解读近年来,随着互联网的普及和信息技术的快速发展,网络安全问题愈加突出。
为保护个人和组织的信息安全,我国颁布了《网络安全等级保护管理办法》,并于最近更新了新版网络安全等级保护定级指南。
本文将对新版指南进行解读,并探讨其对网络安全的影响。
一、背景介绍网络安全等级保护是指对互联网和相关信息系统的安全性进行分类和评估,并提供相应安全保护措施的一项制度。
其目的是为了建立一种全面、科学、可持续的网络安全保护体系,从而有效应对网络安全威胁。
新版网络安全等级保护定级指南的发布,旨在进一步提高网络安全等级保护的科学性和实效性,以适应快速发展的网络环境。
二、新版网络安全等级保护定级指南的内容新版指南细化了网络安全等级保护的评估标准和要求,明确了等级保护的责任主体和具体步骤。
首先,对网络安全等级进行了划分,分为一般网络等级保护和重要网络等级保护两个层次。
其次,对不同等级的网络系统提出相应的定级标准和安全保护要求。
最后,明确了网络安全等级保护的监督与管理机制,强调了等级保护的风险评估和应急响应能力。
三、新版指南的意义和影响新版网络安全等级保护定级指南的出台,对网络安全工作具有重要的意义和影响。
1. 强化网络安全防护能力通过明确的评级标准,网络主体可以更加准确地了解自身的网络安全风险,并采取相应的安全防护措施。
这将有助于提升网络安全防护的能力,减少网络安全事件的发生。
2. 提高网络安全管理水平新版指南强调了网络安全等级保护的风险评估和应急响应能力,要求网络主体建立健全的安全管理机制。
这将推动网络主体加强安全管理,提高网络安全管理的水平和效能。
3. 促进网络安全产业发展在新版指南的影响下,网络安全产业将迎来新的发展机遇。
各类网络安全技术和产品的需求将会大幅增加,为网络安全企业和从业人员提供了更广阔的市场空间。
4. 加强国家网络安全治理新版指南的发布是国家网络安全治理的重要举措之一。
通过规范网络安全等级保护的评估和管理,国家能够更好地了解和掌握网络安全的动态,提升国家网络安全的整体水平。
网络安全等级保护新标准实施要点解析-李明博士
⚫ 对于大型云计算平台, 宜将云计算基础设施和 有关辅助服务系统划分 为不同的定级对象。
运营 系统 运维 系统
21
物联网
物联网主要包括感知、网络传输和处理应用 等特征要素,应将以上要素作为一个整体对 象定级,各要素不应单独定级。
移动 互联
采用移动互联技术的系统主要包括移动终端、 移动应用、无线网络等特征要素,可作为一 个整体独立定级或与相关联业务系统一起定 级,各要素不应单独定级。
22
现场传感/执行、现场控 制和过程控制等层次要素 应作为一个整体对象定级, 各层次要素不单独定级; 生产管理要素可单独定级。
根据责任主体、系统 功能、控制对象和生 产厂商等因素划分为
多个定级对象。
23
◼ 数据资源
◼ 数据资源可独立定级。 ◼ 当安全责任主体相同时,大数据、大数据平台/系统宜
作为一个整体对象定级;当安全责任主体不同时,大 数据应独立定级。
测墙
试安
评全 价技 方术 法要
求
。 。 。
定级
网络类标准
建设整改
等级测评
信
保息
护系 定统 级安 指全
。 。 。
南等
级
保网
护络 基安 本全 要等 求级
安网
全络 设安 计全 技等 术级 要保 求护
网
络 测安 评全 要等 求级
保
护
网 测络 评安 过全 程等 指级 南保
护
其他
信 保息 护系 实统 施安 指全 南等
29
GB 17859—1999
基准式安全
/ 十大安全机制 / 五级安全能力
GB 22239—2008
合规式安全
/ 技术与管理并重 / 对抗与恢复
网络安全等级保护定级
网络安全等级保护定级网络安全等级保护定级指南网络安全等级保护定级是为了确保网络系统的安全性而进行的评估和分类。
本文旨在介绍网络安全等级保护定级的相关内容,包括定级原则和步骤等。
1. 定级原则网络安全等级保护定级基于以下几个原则进行:1. 安全需求分类原则:根据信息系统所承载的数据的重要性和敏感程度,将安全需求进行分类。
2. 安全风险评估原则:通过对网络系统的威胁和风险进行评估,确定其所需的安全等级保护级别。
3. 安全技术措施原则:根据网络系统的安全等级保护级别要求,采取相应的技术措施,确保系统的安全性。
4. 安全事件处理原则:针对安全事件的发生,及时采取相应的应对措施,并对其进行记录和分析。
2. 定级步骤网络安全等级保护定级的步骤包括以下几个方面:1. 安全需求分析:通过对系统的分析,确定系统的数据重要性和敏感程度,以及关键性业务的安全需求。
2. 安全风险评估:评估网络系统所面临的威胁和风险,并将其与安全要求进行对比,确定需要的安全等级保护级别。
3. 安全控制措施策划:根据安全等级保护级别要求,制定相应的安全控制措施和技术规范,以确保系统的安全性。
4. 安全等级保护定级:根据之前的分析和评估结果,确定网络系统的安全等级保护级别,并进行定级。
5. 定级报告编制:根据定级结果,编制定级报告,详细记录网络系统的安全等级保护级别和相应的控制措施。
6. 定级监督和评估:定期对网络系统进行评估和监督,确保安全等级保护的有效性和持续性。
通过以上步骤,网络系统可以根据其安全需求和风险水平,确定相应的安全等级保护定级,并采取相应的安全措施,确保系统的安全性。
定级报告和定期的监督评估是确保网络系统安全的重要手段。
网络安全等级保护定级指南解读
网络安全等级保护定级指南解读《信息安全技术网络安全等级保护定级指南》是《信息安全技术信息系统安全等级保护定级指南》(GB/T 22240-2008)的修订版主要内容一.基本概念和定级要素二.定级方法三.工作流程•定级是开展网络安全等级保护工作的“基本出发点”•定级结果应当成为系统安全保护的总体安全需求之一•定级过程是找到系统最大风险的过程•《信息安全等级保护管理办法》(公通字[2007]43号“第七条信息系统的保护等级分为以下五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益;第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全;第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
”•解决了:信息系统根据什么定级?定什么级?•从信息系统对国家安全、经济建设、公共利益等方面的重要性,以及信息系统被破坏后造成危害的严重性角度对信息系统确定的等级-重要性定级•没有解决:定级的方法、流程•《信息安全技术信息系统安全等级保护定级指南》(GB/T 22240-2008)•《信息安全技术网络安全等级保护定级指南》(GB/T 22240-20**)(前者的修订版)——主要关注等级保护定级工作开展的流程及定级的方法•概念解释•安全保护等级•等级保护对象•客体•安全保护等级等级的确定是不依赖于安全保护措施的,具有一定的“客观性”,即该系统在存在之初便由其自身所实现的使命的重要程度决定了它的安全保护等级,而非由“后天”的安全保护措施决定。
•等级保护对象•网络安全等级保护工作的作用对象,主要包括基础网络设施、信息系统(如工业控制系统、云计算平台、物联网、使用移动互联技术的系统、其他系统)以及数字资源等。
网络安全等级保护2.0标准解读
等级保护标准体系No.1 等级保护1.0标准体系2007年,《信息安全等级保护管理办法》(公通字[2007]43号)文件的正式发布,标志着等级保护1.0的正式启动。
等级保护1.0规定了等级保护需要完成的“规定动作”,即定级备案、建设整改、等级测评和监督检查,为了指导用户完成等级保护的“规定动作”,在2008年至2012年期间陆续发布了等级保护的一些主要标准,构成等级保护1.0的标准体系。
>>>等级保护1.0时期的主要标准如下:信息安全等级保护管理办法(43号文件)(上位文件)计算机信息系统安全保护等级划分准则 GB17859-1999(上位标准)信息系统安全等级保护实施指南 GB/T25058-2008信息系统安全保护等级定级指南 GB/T22240-2008信息系统安全等级保护基本要求 GB/T22239-2008信息系统等级保护安全设计要求 GB/T25070-2010信息系统安全等级保护测评要求 GB/T28448-2012信息系统安全等级保护测评过程指南 GB/T28449-2012No.2 等级保护2.0标准体系2017年,《中华人民共和国网络安全法》的正式实施,标志着等级保护2.0的正式启动。
网络安全法明确“国家实行网络安全等级保护制度。
”(第21条)、“国家对一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。
”(第31条)。
上述要求为网络安全等级保护赋予了新的含义,重新调整和修订等级保护1.0标准体系,配合网络安全法的实施和落地,指导用户按照网络安全等级保护制度的新要求,履行网络安全保护义务的意义重大。
随着信息技术的发展,等级保护对象已经从狭义的信息系统,扩展到网络基础设施、云计算平台/系统、大数据平台/系统、物联网、工业控制系统、采用移动互联技术的系统等,基于新技术和新手段提出新的分等级的技术防护机制和完善的管理手段是等级保护2.0标准必须考虑的内容。
《信息系统安全等级保护定级指南》修订要点解析
19
信息安全等级保护技术大会优秀论文
201 6 年 增 刊
当时的技术发展状况和等级保护工作需求相适应的。但近 几年来,随着云计算平台、物联网和工业控制系统等新形 态的等级保护对象不断涌现, 原定义内涵的局限性日益显现, 无法全面覆盖当前的等级保护工作对象,因此本次修订将 等级保护对象的定义修订为 : “网络安全等级保护的保护对 象, 主要包括基础信息网络、 信息系统、 大数据、 云计算平台、
201 6 年 增 刊
信息安全等级保护技术大会优秀论文
《信息系统安全等级保护定级指南》 修订要点解析
李明 1,2,曲洁 1,2
(1. 公安部信息安全等级保护评估中心,北京 100142 ; 2. 信息安全等级保护关键技术国家工程实验室,北京 100142)
摘 要 : 《信息安全技术 信息系统安全等级保护定级指南》 (GB/T 22240-2008)是国家网 络安全等级保护标准体系的核心标准之一,该标准有力推动了我国网络安全等级保护工作的开 展。面对不断涌现的云计算、大数据、物联网等新技术新应用对定级工作提出的挑战,标准编 制单位对 GB/T 22240 - 2008 进行了修订和完善,以满足新形势下等级保护定级工作的需要。 文章从标准名称、等级保护对象内涵、定级流程和关键环节等方面对已完成的标准草案修订内 容进行重点解析,从而帮助备案单位更好地理解和把握修订后的标准要求,科学、合理地完成 定级工作。 关键词 : 网络安全等级保护 ; 等级保护对象 ; 安全保护等级 ; 定级 中图分类号 : TP309 文献标识码 : A
[6] 物联网、 工业控制系统、 使用移动互联技术的信息系统等” 。
4 定级流程
对于定级流程,2008 版标准主要关注如何从业务信息 和系统服务两个角度分析和确定安全保护级别,未能全生 命周期覆盖整个定级工作过程。本次修订工作依据国家等 级保护制度监管的要求 : “自主定级、专家评审、主管部门 审批和公安机关监督” ,补充和完善了定级工作流程,修订 后的定级工作主要环节包括 : 1)确定定级对象。对等级保护对象进行科学、合理 的划分,并确定最终的定级对象。 2) 初 步 确 定 等 级。 通 过 综 合 分 析 定 级 对 象 的 业 务 信息安 全和系统 服务 安 全, 初步确定 整 体安 全 保 护 等级。 3)专家评审。初步定级完成后,定级对象的运营、使 用单位或主管单位可组织网络安全专家和行业业务专家对 初步定级结果的合理性进行评审,并出具评审意见。 4)主管部门审核。专家评审完成后, 定级对象的运营、 使用单位应将初步定级结果上报行业主管部门或上级主管 部门进行审核。 5)公安机关备案审查。定级对象的运营、使用单位 应按照相关管理规定将初步定级结果提交公安机关进行备 案审查。
新版网络安全等级保护定级指南解读
新版网络安全等级保护定级指南解读网络安全问题日益突出,为了保护人民群众的网络权益和国家信息安全,我国自2018年开始实施网络安全等级保护制度,并于2021年发布了新版网络安全等级保护定级指南。
本文对该指南进行解读,以帮助读者更好地理解和应用该指南,提升网络安全保护水平。
一、背景介绍网络安全对于现代社会已经变得至关重要。
随着互联网技术的迅猛发展,网络攻击和恶意行为呈现出数量庞大、手段多样化的特点。
为了有效应对网络安全威胁,我国制定了网络安全等级保护制度并进行了不断完善。
2021年发布的新版网络安全等级保护定级指南是对该制度的重要完善和更新。
二、新版网络安全等级保护定级指南概述新版指南综合考虑了国内外网络安全技术发展动态和我国网络安全形势特点,围绕网络系统的重要性、安全保护的必要性和风险评估的客观性,对网络安全等级保护进行了全方位、系统化的规定和指导。
1. 等级分类和定级原则新版指南将网络安全等级划分为5个等级,分别是一级、二级、三级、四级和五级。
每个等级对应了一定的安全基线和防护要求,根据信息系统的实际情况和风险评估结果,以定级范围内最低的等级作为等级定级结果。
2. 定级流程和评估方法新版指南详细描述了网络安全等级保护的定级流程和评估方法。
其中包括了需求确认、风险评估、等级定级、安全措施落地等环节,每个环节都有具体的指导原则和实施要求。
3. 安全措施要求和保护措施建议新版指南明确了每个等级的安全措施要求和保护措施建议。
具体来说,一级等级要求系统采取最严格的安全保护措施,五级等级则要求系统落实基本的安全措施。
同时,指南还为各个等级提供了定级参考指标和保护措施建议,以帮助企事业单位更好地开展网络安全等级保护工作。
三、新版指南的意义和应用1. 深化了网络安全等级保护制度新版指南在前版指南的基础上进行了深化和完善,更准确地描述了网络安全等级保护的流程和要求。
它为各类企事业单位提供了具体的指导,促进了网络安全等级保护制度的有效实施。
等保定级指南
等保定级指南等保定级指南是指网络安全等级保护的一种制度,用于评估和确定网络系统、应用等保护级别,帮助组织和企业建立并维护网络安全。
等保定级指南一般由国家相关部门或标准化组织发布,对于网络安全是一种标准化的管理手段。
下面将介绍等保定级指南的基本内容和实施步骤。
等保定级指南的基本内容包括安全需求、安全分级、安全措施和安全培训。
安全需求是指对网络系统和应用的安全要求,包括数据保密性、数据完整性、数据可用性等。
安全分级是根据网络系统和应用的重要性和风险等级,将其划分为不同的安全等级,比如一级、二级、三级等。
安全措施是根据安全需求和安全分级,制定相应的安全控制措施,保障网络系统和应用的安全。
安全培训是对网络系统和应用的管理员和用户进行网络安全教育培训,提高其网络安全意识和技能。
实施等保定级指南的步骤包括确定等级、制定安全策略、实施安全措施和监控评估。
确定等级是根据组织的安全需求和风险等级,将其确定为相应的等级。
制定安全策略是根据等级要求,结合组织的具体情况,制定相应的安全控制策略,包括技术控制、管理控制和物理控制等。
实施安全措施是根据安全策略,实施相应的控制措施,包括网络设备配置、安全软件安装和访问控制等。
监控评估是对网络系统和应用进行定期的监控和评估,发现并修复安全漏洞和问题。
等保定级指南的实施可以提高网络系统和应用的安全性,保护组织和企业的信息和数据的安全。
其好处主要体现在以下几个方面:1. 统一标准:等保定级指南是一种标准化的管理手段,可以统一网络安全的标准和要求,便于组织和企业进行安全管理和评估。
2. 风险评估:通过等保定级指南,可以对网络系统和应用进行风险评估,识别潜在的安全风险,制定相应的安全策略,提高网络安全性。
3. 安全措施:等保定级指南提供了一系列的安全控制措施,通过实施这些措施,可以有效地保护网络系统和应用的安全,降低安全风险。
4. 应急响应:等保定级指南包括了应急响应措施,可以帮助组织和企业建立健全的网络安全应急响应机制,及时应对网络安全事故和攻击。
网络安全等级保护解读
《网络安全等级保护定级指南》、 《网络安全等级保护基本要求 第 2 部分:云计算安全扩展要求》 等 4个公共安全行业等级保护标准。
刑法-条款
第二百八十 六条之一
【拒不履行信息网络安全管理义务罪】网络服务提供者不履 行法律、行政法规规定的信息网络安全管理义务,经监管部 门责令采取改正措施而拒不改正,有下列情形之一的,处三 年以下有期徒刑、拘役或者管制,并处或者单处罚金。
第二百五十 三条之一
【侵犯公民个人信息罪】违反国家有关规定,向他人出售或 者提供公民个人信息,情节严重的,处三年以下有期徒刑或 者拘役,并处或者单处罚金;情节特别严重的,处三年以上 七年以下有期徒刑,并处罚金。
等级保护标准政策-修订背景
⚫ 2001年国家标准GB/T 18336《信息技术 安全技术 信息技术安全性评估准则》 参照CC 即ISO/IEC 15408
2003年 中办发17号文件提出实行信息安全等级保护的任务 2004年 公通字66号文件 公安部、国家保密局、国家密码管理委员会办公室
、国务院信息办发布《关于信息安全等级保护工作的实施意见》 2007年 公通字[2007]43号文四部门发布《信息安全等级保护管理办法》
等级保护1.0标准政策
1994年 《中华人民共和国计算机信息系统安全保护条例》的发布 1999年 《计算机信息系统安全保护等级划分准则》 GB17859-1999发布 2001年 国家发改委“计算机信息系统安全保护等级评估体系及互联网络电子身份管理与安全保护 平台建设项目”(1110)工程实施
2003年 中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》 2004年 四部委联合签发了《关于信息安全等级保护工作的实施意见 》
等保2.0信息系统定级-备案-专家评审流程
等保2.0信息系统定级、备案、专家评审流程一.系统定级请参考GAT 1389—2017信息安全技术网络安全等级保护定级指南(见第二步相关材料文件夹)定级,定级对象的运营使用单位应组织专家召开专家定级评审会(专家组由最低由三名信息安全专家和业务专家组成,其中一名应为等级保护高级测评师),出具初步定级建议并上报行业主管部门或上级主管部门审核后到公安机关备案(备案审查不通过运营使用单位重新组织定级工作)。
1、安全专家解读:(1)等保2.0定级备案流程:确定定级对象、初步确定等级、专家评审、主管部门审核、公安机关备案审查、最终确定等级。
(2)信息系统定级备案工作甲方可以自己独立完成,也可以聘请等保测评机构、有等保安全建设服务机构的安全厂商及其他有资质单位协助完成定级备案工作。
(3)定级参考《GAT 1389—2017信息安全技术网络安全等级保护定级指南》第四章定级原理及流程。
(附件1)(4)等级保护对象的安全保护等级分为以下五级:a)第一级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益;b)第二级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全;c)第三级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生特别严重损害,或者对社会秩序和公共利益造成严重损害,或者对国家安全造成损害;d)第四级,等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害;e)第五级,等级保护对象受到破坏后,会对国家安全造成特别严重损害。
(5)定级范围:包括基础信息网络、工业控制系统、云计算平台、物联网、其他信息系统、大数据等。
(6)以上信息确定好,根据甲方信息系统及机房实际情况,编写《信息系统安全等级保护备案表》、《信息系统安全等级保护定级报告》。
网络安全等级保护2.0解读 PPT精品课件
安全通信网络
安全建设
安全区域边界
安全计算环境
安全管理中心
测评周期的变化
➢ 等保1.0 :三级系统每年至少进行一次等级测评, 四级系统每半年至少进行一次等级测评。
网络安全等级保护2.0解读
网络安全等级保护相关法律法规
等级保护2.0措施进一步完善
➢ 等级保护2.0沿等用级了等保保护1.02的.0五措个规施定进动作一: 定步级完、备善案、
建设整改、等级测评和监督检查(《信息安全等级保护 管理办法》 公通字[2007]43号)规定的等级保护工作)。 ➢ 增加了风险评估、安全监测、通报预警、案(事)件调 查、数据防护、灾难备份、应急处置、自主可控、供应 链安全、效果评价、综合考核等内容,充分体现了变被 动防护为主动防护,变静态防护为动态防护,变单点防 护为整体防控的核心思想。
等级保护2.0定级流程
定级标准及对象的变化
➢ 1.标准的变化
✓ 1.0 《信息系统安全等级保护等级指南》(GB/T 22240-2008) ✓ 2.0 《网络安全等级保护等级指南》(GA/T 1389-2017)
➢ 2.等级保护对象的演变
1.0定级对象 ✓ 信息系统
2.0等级保护对象 ✓ 基础信息网络 ✓ 信息系统(如工业控制系统、云计算平
等级保护2.0工作流程
定级流程的变化
➢ 等保1.0 :自主定级 ➢ 等保2.0:《网络安全等级保护条例》
✓ 网络定级应按照网络运营者拟定网络等级、专家评审、主管部分核 准、公安机关审核的流程进行。
✓ 对拟定为第二级以上的网络,其运营者应当组织专家评审;有行业 主管部门的,应当在评审后报请主管部门核准。
信息安全-技术网络安全等级保护定级指南
信息安全-技术网络安全等级保护定级指南下载温馨提示:该文档是我店铺精心编制而成,希望大家下载以后,能够帮助大家解决实际的问题。
文档下载后可定制随意修改,请根据实际需要进行相应的调整和使用,谢谢!并且,本店铺为大家提供各种各样类型的实用资料,如教育随笔、日记赏析、句子摘抄、古诗大全、经典美文、话题作文、工作总结、词语解析、文案摘录、其他资料等等,如想了解不同资料格式和写法,敬请关注!Download tips: This document is carefully compiled by the editor. I hope that after you download them, they can help you solve practical problems. The document can be customized and modified after downloading, please adjust and use it according to actual needs, thank you!In addition, our shop provides you with various types of practical materials, such as educational essays, diary appreciation, sentence excerpts, ancient poems, classic articles, topic composition, work summary, word parsing, copy excerpts, other materials and so on, want to know different data formats and writing methods, please pay attention!信息安全是当前社会中的一个重要问题,尤其是在数字化时代的今天,网络安全等级保护更是备受关注。
新版网络安全等级保护定级指南解读
第三级
1. 确定定级对象 2. 初步确定等级 3. 专家评审 4. 主管部门审核
5. 公安机关备案审查
n 具有确定的安全责任主体 n 承载相对独立的业务应用 n 包含相互关联的多个网络资源
基础信 息网络
对于电信网、广播电视传输网、互联网等基 础信息网络,应分别依据服务类型、服务地 域和安全责任主体等因素将其划分为不同的 定级对象。
电信网、广播电视传输网、互联网、业务专网等。 关键信息基础设施 (新增)
公共通信和信息服务、能源、金融、交通、水利、公共服务和电 子政务等重要行业和领域以及其他一旦遭到破坏、丧失功能或数据 泄露,可能严重危害国家安全、国计民生和公共利益的网络系统。
大数据(新增) 仅在可扩展架构中才能实施存储、操作和分析,具备数量大、
跨省业务专网可作为一个整体对象定级,也 可以分区域划分为若干个定级对象。
工业控 制系统
现场采集/执行、现场控制和过程控制等要 素应作为一个整体对象定级,各要素不单独 定级;生产管理要素可单独定级。
对于大型工业控制系统,可以根据系统功能、 责任主体、控制对象和生产厂商等因素划分 为多个定级对象。
管生 理产
对于基础信息网络、云计算平台,应根据其承载或将要承 载的等级保护对象的重要程度确定其安全保护等级,原则 上应不低于其承载的等级保护对象的安全保护等级。
对于大数据,应综合考虑数据规模、数据价值等因素,根 据数据资源(完整性、保密性、可用性)遭到破坏后对国 家安全、社会秩序、公共利益以及公民、法人和其他组织 的合法权益的侵害程度等因素确定其安全保护等级。
修订
CONTENTS
01 标准名称 网络安全等级保护 02 术语与定义 修订及新增术语定义 03 定级原理 第三级定义与定级流程 04 定级方法 确定对象和初步确定级别
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
《网络安全等级保护定级指南》专家解读首先,《网络安全等级保护定级指南》是由国家互联网信息办公室、
公安部等部门联合发布的,旨在强化网络安全保护工作,提升我国网络安
全防护水平,对于保护国家关键信息基础设施、应对网络安全威胁具有重
要意义。
该文件首先明确了网络安全等级保护的基本原则。
其中包括保护依法
经营的主体的合法权益,促进网络经济的健康发展,推动创新发展等。
这
些原则对于网络安全保护工作的方向和目标具有重要指导作用。
在等级划分方面,《网络安全等级保护定级指南》提出了四级网络安
全等级保护体系,并对每个等级的要求做了具体明确的规定。
这一体系涵
盖了从一般保护到最高保护级别的不同等级,适用于各类网络安全风险级
别不同的信息系统和网络。
根据等级划分,《网络安全等级保护定级指南》还对各级别的保护要
求进行了详细的描述。
其中包括基本要求、技术要求、管理要求等方面。
这些要求具体明确,有助于各类主体按照不同等级的要求开展网络安全保
护工作。
此外,《网络安全等级保护定级指南》还对等级评估和认证进行了规定。
明确了评估认证的方式和程序,并提出了受理机构和评估机构的要求。
这一规定有助于建立科学、有效的网络安全评估认证体系,提高网络安全
保护工作的可信度和可靠性。
对于不同主体,《网络安全等级保护定级指南》提出了相应的指导意
见和支持措施。
特别是针对网络服务企业、政府机关、金融机构等关键领
域和重要行业的主体,提出了具体的工作要求和支持政策。
这些指导和措
施有助于各类主体通过网络安全等级保护,提升自身的网络安全防护能力。
综上所述,《网络安全等级保护定级指南》是我国网络安全领域一项
重要的指导性文件。
通过等级划分和保护要求的规定,有助于建立科学有
效的网络安全保护体系,提升我国网络安全的整体水平。
同时,该文件还
对等级评估和认证、支持措施等方面进行了规定,为各类主体提供了具体
的指导和帮助。
希望各级部门、企事业单位、个人能够认真贯彻落实该指南,共同保护网络安全。