等级保护新标准20解读
等保2.0新标准解读
等保2.0新标准解读5月13日下午,国家标准新闻发布会在市场监管总局马甸办公区新闻发布厅召开,网络安全等级保护制度2.0标准正式发布,包括网络安全等级保护的基本要求、测评要求、安全设计技术要求三个部分,实施时间为2019年12月1日。
《网络安全法》出台后,等级保护进入2.0时代,这意味着2007年四部门建立的“信息安全等级保护体系”已全面升级到“网络安全等级保护2.0体系”。
网络安全等级保护是国家网络安全保障的基本制度、基本策略、基本方法。
开展网络安全等级保护工作是保护信息化发展、维护网络安全的根本保障,是网络安全保障工作中国家意志的提现。
网络安全等级保护虽然依旧按照定级、备案、建设整改、等级测评、监督检查等五个阶段进行,同时,等级保护的“五个等级”及“主体职责”没有变化。
但是,等保2.0已经从法规条例“国务院147号令”上升到《网络安全法》的法律层面;《网络安全法》第二十一条要求,国家实施网络安全等级保护制度;第二十五条要求,网络运营者应当制定网络安全事件应急预案;第三十一条则要求,关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护;第五十九条明确了,网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门给予处罚。
总而言之,等保2.0实施后,不开展等级保护等于违反《网络安全法》,可以根据法律规定进行处罚。
传统等级保护(暂时叫等保1.0)主要强调物理安全、主机安全、网络安全、应用安全、数据安全及备份恢复等通用要求,而等保2.0标准在对等保1.0标准基本要求进行优化的同时,针对云计算、物联网、移动互联网、工业控制、大数据新技术提出了新的安全扩展要求。
也就是说,使用新技术的信息系统需要同时满足“通用要求安全扩展”的要求。
并且,针对新的安全形势提出了新的安全要求,标准覆盖度更加全面,安全防护能力有很大提升。
通用要求方面,等保2.0标准的核心是“优化”。
删除了过时的测评项,对测评项进行合理性改写,新增对新型网络攻击行为防护和个人信息保护等新要求,调整了标准结构、将安全管理中心从管理层面提升至技术层面。
等保2.0新版本变化分析
任何事物都会随着时代的发展而不断地变化更新,在网络领域也是如此。
对于网络安全保护工作的等级也是如此,近年来随着网络通讯技术的不断深入发展,等级保护制度也发生了一些变化。
有关等保2.0的相关标准已经发布有一段时间,离标准正式实施还有几个月的时间,之前关于等保2.0中测评结论的判定目前也已经尘埃落定,等保测评结论将由1.0时代的符合、基本符合、不符合改为2.0时代的优、良、中、差四个等级。
那么等保2.0这个新版本的等级保护制度有哪些方面的变化呢?下面就从以下五个方面给大家分析一下。
1.对象的变化。
对象由原来的“信息系统”变为了“等级保护对象(网络和信息系统)”,除了等保1.0版本强调的物理主机、应用、数据与传输,等保2.0标准在此基础上注重全方位主动防御、全可信、动态感知和全面审计,实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联和工业控制信息系统等各类新技术应用的全覆盖。
2.安全要求的变化。
安全要求变为了安全通用要求和安全扩展要求两部分,安全通用要求是不管等级保护对象形态如何必须满足的要求,而安全扩展要求是针对云计算、移动互联网、物联网和工业控制系统等所提出的特殊要求。
其中,云计算安全扩展要求对云计算环境主要增加的内容包括“基础设施的位置”、“虚拟化安全保护”、“镜像和快照保护”、“云服务商选择”和“云计算环境管理”等方面。
3.流程的变化。
除了等保1.0中定级、备案、建设整改、等级测评和监督检查这五个规定动作外,风险评估、安全监测、通报预警、事件调查、应急演练、灾难备份、自主可控、供应链安全、效果评价、综治考核等重点措施均纳入等保流程内。
整体流程更为复杂,内容也更加细化。
4.定级原则的变化。
等保2.0放弃了原来“自主定级、自主保护”的原则,采取了以国家行政机关持续监督的“明确等级、增强保护、常态监督”方式。
更重要的是,除上基础信息网络、工业控制系统、云计算平台、物联网、采用移动互联技术的网络和大数据等相关系统外,还做出了对关键信息基础设施定级原则上不低于三级的规定。
等保2.0标准体系详细解读-培训课件
行为;新增实现对网络攻击特别是新型网络攻击行为的分析 恶意代码和垃圾邮件防范:新增垃圾邮件防护 安全审计:新增对远程访问的用户行为、访问互联网的用户行为等单独进行行为
资源控制
7
数据完整性
2
数据安全及 备份恢复
数据保密性
2
备份和恢复
4
安全计算环境
控制点
要求项
身份鉴别
4
访问控制
7
安全审计
4
入侵防范
6
恶意代码防范
1
可信验证
1数据Biblioteka 整性2数据保密性2
数据备份恢复
3
剩余信息保护
2
个人信息保护
2
合计
34
变化列举
身份鉴别:加强用户身份鉴别,采用两种或两种以上鉴别方式,且其中 一种鉴别技术至少应使用密码技术来实现
安全审计 数据完整性 个人信息保护
入侵防范 数据保密性
安全区域边界
边界防护
访问控制
恶意代码和垃圾邮件防范
入侵防范 安全审计
可信验证
安全通信网络 网络架构
通信传输
可信验证
安全物理环境
物理位置选择 防雷击
温湿度控制
物理访问控制 防火
电力供应
防盗窃和防破坏
防水和防潮
防静电
电磁防护
通用要求-安全管理要求的变化
信息安全保障纲领 性文件,明确指出 “实行信息安全等 级保护“主要任务
进一步明确了信息 安全等级保护制度 的职责分工和工作 的要求等基本内容
明确了信息安全等 级保护的五个动作, 为开展等级保护工 作提供了规范保障
等保2.0政策规范解读(63页 PPT )
d) 应限制无线网络的使用,确保无线网络通过受控的边界防护设备 接入内部网络。
入侵防范
b) 应在关键网络节点处检测、防止或限制从内部发起的网络攻击行 为; (新增)
设计要求
测评要求
通用要求
云计算
物联网
移动互联
工业控制
7
。 share
等保2.0标准解读
勇 share
等级保护1.0和2.0对比
旧标准(等级保护1.0)
技术要求
物理安全 网络安全 主机安全 应用安全
管理要求
数据安全及备份恢复 安全管理制度 安全管理机构 人员安全管理 系统建设管理 系统运维管理
9
新标准(等级保护2.0)
无 入侵防范
无
a) 应采用校验码技术或密码技术保证通信过程中数据的完整性;
通信传输 b) 应采用密码技术保证通信过程中敏感信息字段或整个报文的保密 性。
a) 应保证跨越边界的访问和数据流通过边界防护设备提供的受控接 口进行通信;
边界防护
b) 应能够对非授权设备私自联到内部网络的行为进行限制或检 查;
3
4
6 防水和防潮
3
2
7 防静电
2
1
8 温湿度控制
1
4
9 电力供应
3
3
10 电磁防护
2
。 share
物理位置的选择
原控制项
新控制项
b)机房场地应避免设在建筑物的高层或 地下室,以及用水设备的下层或隔壁。 物理位置的选择
b)机房场地应避免设在建筑物的顶层或地下室, 否则应加强防水和防潮措施
防静电
无
等级保护新标准(2.0)介绍【优质PPT】
• 以《GB17859 计算机信息系统安全保护等级划分准则 》、《GB/T22239-2008 信息安全技术 信 息系统安全等级保护基本要求 》为代表的等级保护系列配套标准,习惯称为等保1.0标准。
• 2003年,中央办公厅、国务院办公厅颁发《国家信息化领导小组关于加强信息安全保障工作的意 见》(中办发[2003]27号)明确指出“实行信息安全等级保护”。
• 2004-2006年,公安部联合四部委开展涉及65117家单位,共115319个信息系统的等级保护基础 调查和等级保护试点工作,为全面开展等级保护工作奠定基础。
4
等级保护发展历程与展望
等级保护2.0时代,将根据信息技术发展应用和网络安全态势,不断丰富制度内涵、拓展保护范围、完善监 管措施,逐步健全网络安全等级保护制度政策、标准和支撑体系。
等级保护上升为法律
《中华人民共和国网络安全法》第21条规定“国家实行 网络安全等级保护制度”,要求“网络运营者应当按照网络 安全等级保护制度要求,履行安全保护义务”;第31条规定 “对于国家关键信息基础设施,在网络安全等级保护制度的 基础上,实行重点保护”。
5
1
等级保护发展历程与展望
2
等级保护2.0标准体系
√
3
等级保护2.0基本要求解析
4
等级保护2.0扩展要求解析
2021/5/27
6
等级保护2.0标准体系
GB 17859-1999 《计算机信息系统安全保护等级划分准则》
《《《《《《
信 息 系 统 安 全 等 级 保 护 定 级 指 南 》
等保2.0的主要变化_概述说明以及解释
等保2.0的主要变化概述说明以及解释1. 引言1.1 概述等保2.0是指国家互联网信息办公室发布的《信息系统安全等级保护管理规定》,也被称为“网络安全等级保护2.0”。
随着互联网技术的发展和网络威胁形势的不断演变,等保2.0作为对原有等级保护制度的一次重大改革,旨在解决现有制度存在的问题,并提供更加科学、灵活和有效的网络安全管理要求。
本文将介绍等保2.0主要变化以及对企业和组织带来的影响。
1.2 文章结构本文共分为五个部分。
第一部分是引言,简要介绍了等保2.0的概述、文章结构和目的。
第二部分将详细讨论等保2.0主要变化,包括背景介绍、主要变化概述以及解释这些变化的意义。
第三部分将深入探讨等保2.0所采取的具体改进措施,包括政策法规的更新、安全等级核定标准的调整以及技术要求的升级与完善。
第四部分将重点讨论等保2.0对企业和组织带来的影响与挑战,包括对企业安全管理体系的要求提升、对IT基础设施建设的影响以及对人员培训和意识提升的要求。
最后一部分是结论,总结本文内容。
1.3 目的本文旨在全面介绍等保2.0的主要变化,并解释这些变化对企业和组织产生的影响和挑战。
通过深入了解等保2.0的改革内容,读者可以更好地理解新制度背后的原因和意义,并为相应的安全管理工作做好准备。
同时,本文也为相关领域从业人员提供了一份详尽清晰的参考资料,在实践中能够更加有效地推进等保2.0标准的落地实施。
2. 等保2.0主要变化2.1 背景介绍等保2.0是中国国家网络安全宣传周的重要内容之一,旨在进一步提升我国信息系统安全保护水平,适应新形势下信息化发展对网络安全的新挑战和新需求。
随着互联网技术的迅猛发展及信息化水平的不断提高,我国网络空间面临着日益复杂多变的威胁与风险,原有的等级保护制度已经无法满足现代网络环境下的安全需求。
因此,等保2.0作为更新版的等级保护制度,在政策法规、核定标准以及技术要求方面都进行了重大调整和改进。
2.2 主要变化概述等保2.0相对于原有的等级保护制度,在以下方面进行了主要变化:首先,在政策法规层面上,等保2.0进行了修订和更新。
等级保护2.0解读与应对
© 2019 毕马威企业咨询(中国)有限公司 — 中国外商独资企业, 是与瑞士实体 — 毕马威国际合作组织 ( "毕马威国 5
际" ) 相关联的独立成员所网络中的成员。版权所有,不得转载。中国印刷。
等级保护2.0解读与应对
网络运营者的安全保护义务
等保条例在网络安全法规定的网络运营者安全保护义务的基础上,对网络运营者针 对不同安全保护等级网络的安全保护义务作了明确、细化的要求,这是等级保护 2.0作为“条例”的新变化,既是公安部门的监管重点,也是网络运营者等保建设 和测评的重点。
06
4 等级保护合规建议
11
5 毕马威等级保护合规服务
12
© 2019 毕马威企业咨询(中国)有限公司 — 中国外商独资企业, 是与瑞士实体 — 毕马威国际合作组织 ( "毕马威国 3
际" ) 相关联的独立成员所网络中的成员。版权所有,不得转载。中国印刷。
等级保护2.0解读与应对
等级保护发展历程
1994
等级保护合规建议毕马威网络安全服务基于企业运营现状和规划开展内部系统梳理识别并形成系统清单根据等级保护相关要求按业务重要程度系统对外服务可用性数据的类型和规模等要素梳理网络和系统及其边界明确信息安全责任主体和定级对象对内部系统进行初步定级根据确定的定级对象和对应级别参照等级保护相关要求进行差距分析形成自查报告针对不符合项确定整改策略开展整改工作包括技术措施落实和管理制度完善等按需开展网络安全法相关要求的合规性评估风险评估和技术检测等作为等级保护合规的必要补充按要求编制定级报告并组织必要的外部专家评审二级及以上完成主管部门审核如有后进一步完成公安部门备案选择公安部授权的测评机构开展测评根据初测结论进行安全整改并通过复测以获得备案证明三级及以上三级系统要求每年需测评1次二级系统建议每2年测围绕信息安全治理目标结合等保工作发现制定安全规划明确网络安全工作任务以及各项任务的优先级成本和资源参照等级保护20和行业最佳实践完善网络安全技术保障体系识别保护检测响应恢复等并按要求定期开展年度测评工作持续关注网络安全法及相关法律政策标准的动态及时对应新的监管要求系统梳理和定级自查整改第三方测评和备案持续改进等级保护合规路径等级保护是国家信息安全保障工作的基本制度
网络安全等级保护20通用要求版
网络安全等级保护20通用要求版随着信息技术的飞速发展,网络安全等级保护已成为国家信息安全的重要组成部分。
网络安全等级保护20通用要求版,旨在确保政府机构、企事业单位和其他组织在处理敏感信息时,实现信息安全等级保护,保障信息系统的安全稳定运行。
网络安全等级保护20通用要求版主要包括以下几个方面的内容:1、信息安全等级保护:组织应根据自身实际情况,将信息安全划分为不同的等级,并采取相应的保护措施。
其中,等级划分应依据信息的重要性和受到破坏后的危害程度进行。
2、风险管理:组织应建立完善的风险管理体系,对可能影响信息系统安全的各种因素进行全面分析,制定相应的风险应对策略。
3、物理安全:组织应确保物理环境的安全,包括机房、设备、电源、消防等方面的安全措施。
4、身份认证与访问控制:组织应建立完善的身份认证和访问控制机制,确保只有经过授权的人员才能访问敏感信息。
5、数据安全与隐私保护:组织应采取一系列措施,确保数据的完整性和保密性,防止未经授权的数据泄露和滥用。
6、应急响应与恢复:组织应制定完善的应急响应预案,确保在发生网络安全事件时,能够迅速响应并恢复系统的正常运行。
在实际应用中,网络安全等级保护20通用要求版具有以下重要意义:1、提高信息安全性:通过实施网络安全等级保护20通用要求版,组织能够加强对敏感信息的保护,减少网络安全事件的发生,提高信息安全性。
2、降低风险:通过风险管理措施的制定和实施,组织能够及时发现并解决潜在的安全隐患,降低信息安全风险。
3、提高工作效率:通过合理的等级划分和相应的保护措施,组织能够优化信息安全管理体系,提高工作效率。
总之,网络安全等级保护20通用要求版对于保障信息系统的安全稳定运行具有重要意义。
组织应认真贯彻落实相关要求,加强信息安全保护,确保国家信息安全。
信息系统网络安全等级保护建设方案信息系统网络安全等级保护建设方案随着信息技术的飞速发展,保障网络和信息系统的安全已经成为各行各业的重要任务。
信息安全等保2.0技术方案
信息安全等保2.0技术方案信息安全等保 20 技术方案在当今数字化时代,信息安全已成为企业和组织发展的关键因素。
随着网络攻击手段的日益复杂和多样化,信息安全等级保护 20(以下简称等保 20)标准的出台为保障信息系统的安全提供了更为全面和严格的规范。
本文将详细探讨一套符合等保 20 要求的技术方案,帮助企业和组织提升信息安全防护能力。
一、等保 20 概述等保 20 是在等保 10 的基础上进行的升级和完善,它涵盖了更广的范围和更细的要求。
等保 20 强调了“一个中心,三重防护”的理念,即以安全管理中心为核心,从安全计算环境、安全区域边界和安全通信网络三个方面进行防护。
同时,等保 20 增加了对云计算、移动互联、物联网、工业控制等新场景的安全要求。
二、技术方案框架(一)安全物理环境确保机房的物理安全是信息安全的基础。
这包括机房的选址、防火、防水、防静电、温湿度控制等方面。
例如,机房应位于不易遭受自然灾害和人为破坏的地点,安装有效的消防设备和防水设施,铺设防静电地板,并配备空调系统以保持合适的温湿度。
(二)安全通信网络1、网络架构优化采用分层、分区的网络架构,划分不同的安全区域,并通过防火墙、入侵检测系统等设备进行隔离和防护。
2、网络访问控制实施访问控制策略,限制网络访问权限,只允许授权的设备和用户接入网络。
3、数据传输加密对敏感数据的传输进行加密,如使用 SSL/TLS 协议,确保数据在传输过程中的保密性和完整性。
(三)安全区域边界1、边界防护在网络边界部署防火墙、入侵防御系统等设备,防止外部攻击和非法访问。
2、访问控制设置访问控制规则,对进出网络的流量进行严格的过滤和控制。
3、安全审计对网络边界的访问行为进行审计和监测,及时发现异常活动。
(四)安全计算环境1、操作系统安全及时更新操作系统补丁,关闭不必要的服务和端口,设置强密码策略。
2、应用系统安全对应用系统进行安全开发和测试,防止出现漏洞和安全隐患。
等保2.0标准介绍ppt课件
病原体侵入机体,消弱机体防御机能 ,破坏 机体内 环境的 相对稳 定性, 且在一 定部位 生长繁 殖,引 起不同 程度的 病理生 理过程
目录
1 概述
2 安全通用要求 3 云计算安全扩展要求 4 移动互联安全扩展要求 5 物联网安全扩展要求 6 工业控制安全要求
病原体侵入机体,消弱机体防御机能 ,破坏 机体内 环境的 相对稳 定性, 且在一 定部位 生长繁 殖,引 起不同 程度的 病理生 理过程
选择
安全运维 管理
环境管理
资产管理
介质管理
设备维护管理 漏洞和风险 管理 网络和系统 安全管理
恶意代码防范 管理
配置管理
密码管理
变更管理 备份与恢复
管理 安全事件处置 应急预案管理
外包运维管理
病原体侵入机体,消弱机体防御机能 ,破坏 机体内 环境的 相对稳 定性, 且在一 定部位 生长繁 殖,引 起不同 程度的 病理生 理过程
病原体侵入机体,消弱机体防御机能 ,破坏 机体内 环境的 相对稳 定性, 且在一 定部位 生长繁 殖,引 起不同 程度的 病理生 理过程
新增领域标准
云计算安全
物联网安全
工业控制安全
大数据安全
移动互联安全
病原体侵入机体,消弱机体防御机能 ,破坏 机体内 环境的 相对稳 定性, 且在一 定部位 生长繁 殖,引 起不同 程度的 病理生 理过程
数据完整性 数据保密性 数据备份恢复 剩余信息保护 个人信息保护
病原体侵入机体,消弱机体防御机能 ,破坏 机体内 环境的 相对稳 定性, 且在一 定部位 生长繁 殖,引 起不同 程度的 病理生 理过程
GB/T 22239.1等级保护安全通用要求
安全管理中心 系统管理 审计管理 安全管理 集中管控
等保2.0
等保2.0引言等保2.0是指信息系统安全等级保护的第二代标准,是我国针对信息系统安全等级保护的一项重要规范。
随着信息化技术的快速发展,网络安全问题日益突出,为了保护国家信息系统的安全,等保2.0标准应运而生。
等保2.0的背景在信息化时代,网络安全问题日益严重。
黑客攻击、病毒传播、数据泄露等问题频频发生,给个人、企业甚至国家的信息系统带来了巨大的风险。
为了规范信息系统安全保护的实施,我国于2012年发布了《信息安全技术中国保密技术信息系统安全等级保护》标准,即等保1.0。
然而,随着网络安全形势的不断演变和技术的不断发展,等保1.0已经无法满足现代信息系统安全保护的需要。
因此,国家信息安全等级保护标准工作组在等保1.0的基础上制定了等保2.0标准。
等保2.0的特点1. 强调风险管理等保2.0相比于等保1.0更加重视风险管理。
它要求对信息系统的风险进行全面、系统的分析和评估,并采取相应的措施进行风险治理。
通过对信息系统的风险进行有效的管理,可以最大程度地保护信息系统的安全。
2. 强调持续监测等保2.0要求信息系统的安全保护应具备持续监测的能力。
通过监测安全事件、网络流量、系统性能等指标,及时发现并处理信息系统的异常行为。
持续监测可以帮助发现潜在威胁,及时采取措施防范风险的发生。
3. 强调技术创新等保2.0鼓励技术创新,要求在信息系统安全保护中积极应用新兴技术。
例如,人工智能、区块链、云计算等新技术可以在等保2.0的实施中发挥重要作用,提高信息系统的安全性和效率。
等保2.0的实施步骤1. 信息系统分类根据等保2.0的要求,首先需要对信息系统进行分类。
等保2.0将信息系统分为多个等级,根据信息系统的重要性和使用环境进行划分。
2. 风险评估根据信息系统的等级,进行相应的风险评估。
通过对信息系统的风险进行评估,可以确定信息系统的安全保护需求,为后续的安全保护措施提供依据。
3. 安全策略制定根据风险评估结果,制定相应的安全策略。
等级保护2.0标准解读
《信息系统安全等级保护测评过程指南》GB/T28449-2012(有修订)ຫໍສະໝຸດ 客户支持 和服务代表
跨云提供 者
云服务安 全和风险 管理者
网络提供 者
22
等保2.0-移动互联安全扩展要求
• 移动互联安全扩展要求章节针对移动互联的特点 提出特殊保护要求。对移动互联环境主要增加的 内容包括“无线接入点的物理位置”、"区域边 界安全"、“移动终端管控”、“移动应用管控 ”、“移动应用软件采购”和“移动应用软件开 发”等方面。
19
02 等级保护2.0 介绍 20
等保2.0-云计算安全扩展要求
• 云计算安全扩展要求章节针对云计算的特点提出 特殊保护要求。对云计算环境主要增加的内容包 括“基础设施的位置”、“虚拟化安全保护”、 “镜像和快照保护”、“云服务商选择”和“云 计算环境管理”等方面。
21
等保2.0-云计算安全扩展要求
12
等保2.0特点4-强化可信计算
从一级到四级均在“安全通信网络”、“安全区域边界”和“安全计算环境” 中增加了“可信验证”控制点。
设备的系统引导程序、系统程序等进行可信验证
增加重要配置参数和应用程序进行可信验证,并将 验证结果形成审计记录送至安全管理中心
增加应用程序的关键执行环节进行动态可信验证
• 管理部分: • 安全管理制度、安全管理机构、安全管理人员、安全建 设管理、安全运维管理
等保2.0解读
核心变化:重点保障关键信息基础设施
等级保护1.0
网站 信息系统 传统IT环境
等级保护2.0
关键信息基础设施
公共通信和信息服务、能源、交通、 水利、金融、公共服务、电子政务 等重要行业和领域
云计算、物联网、移动互联、工控、 大数据等新IT环境
面对关键信息基础设施,等级保护《基本要求》需要创新发展: 适应新型的系统形态和网络架构 面对新技术新应用的扩展 使基本指标具有动态、可扩展性 从合规测评到CIIP安全状态评价
一般损害
严重损害
特别严重损害
第一级
第二级
第二级 第三级
社会秩序、公共利益
第二级
第三级
第四级
国家安全
第三级
第四级
第五级
信息系统 方面
技术要求
信息安 全等级 保护基 本要求
管理要求
类
物理安全 类
网络安全 类
主机安全 类
应用安全 类
数据安全 及备份恢
复类
安全管理 安全管理 人员安全 系统建设 系统运维
制度类
测评机构
监管机构
定级备案
建设整改
等级测评
监督检查
定级备案
建设整改 信息共享 态势感知 应急演练
。。。
等级测评 按需定制 线上线下 攻防对抗
。。。
监督检查·
网络基础设施、信息系统、大数 信息系统 据、云计算、物联网、移动互联
、工控系统等
重
危
要
害
程
程
度
度
受侵害的客体 公司、法人和其他组织的合法利益
对相应客体的侵害程度
25
34
35
系统安全运维管理
干货网络安全等级保护2.0标准解读
干货网络安全等级保护2.0标准解读等级保护标准体系01等级保护1.0标准体系2007年,《信息安全等级保护管理办法》(公通字[2007]43号)文件的正式发布,标志着等级保护1.0的正式启动。
等级保护1.0规定了等级保护需要完成的“规定动作”,即定级备案、建设整改、等级测评和监督检查,为了指导用户完成等级保护的“规定动作”,在2008年至2012年期间陆续发布了等级保护的一些主要标准,构成等级保护1.0的标准体系。
>>>等级保护1.0时期的主要标准如下:•信息安全等级保护管理办法(43号文件)(上位文件)•计算机信息系统安全保护等级划分准则GB17859-1999(上位标准)•信息系统安全等级保护实施指南 GB/T25058-2008•信息系统安全保护等级定级指南 GB/T22240-2008•信息系统安全等级保护基本要求 GB/T22239-2008•信息系统等级保护安全设计要求 GB/T25070-2010•信息系统安全等级保护测评要求 GB/T28448-2012•信息系统安全等级保护测评过程指南 GB/T28449-201202等级保护2.0标准体系2017年,《中华人民共和国网络安全法》的正式实施,标志着等级保护2.0的正式启动。
网络安全法明确“国家实行网络安全等级保护制度。
”(第21条)、“国家对一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。
”(第31条)。
上述要求为网络安全等级保护赋予了新的含义,重新调整和修订等级保护1.0标准体系,配合网络安全法的实施和落地,指导用户按照网络安全等级保护制度的新要求,履行网络安全保护义务的意义重大。
随着信息技术的发展,等级保护对象已经从狭义的信息系统,扩展到网络基础设施、云计算平台/系统、大数据平台/系统、物联网、工业控制系统、采用移动互联技术的系统等,基于新技术和新手段提出新的分等级的技术防护机制和完善的管理手段是等级保护2.0标准必须考虑的内容。
等保2.0政策规范解读指导方案
突出以技管网
等保2.0政策强调利用技术手段加强对 网络安全的监管和管理,提高网络安全 管理的效率和水平。
扩大适用范围
等保2.0政策将所有非涉密网络信息系 统的安全保护纳入适用范围,提高了网 络信息系统的安全保障能力。
加强监督检查
等保2.0政策要求各级政府加强对网络 信息系统的监督检查,确保各项安全措 施得到有效落实。
定期开展自查与整改
企业应定期开展安全自查,及时发现和整改 存在的安全隐患,确保符合等保2.0政策的 要求。
加强等保2.0政策的宣传与培训
政府部门应加大对等保2.0政策的宣传 力度,提高企业对政策的认知度和重 视程度。
组织开展等保2.0政策的培训活动,帮 助企业了解政策的具体要求和实施方 法,提高企业的合规意识和操作能力 。
THANKS
安全监测与应急响应
建立安全监测机制,实时监测信息 系统的安全状况,并制定应急响应 预案,及时处置系统异常和安全事 件。
案例二:某政府机构等级保护实践
01
确定信息系统等级
根据业务性质和重要程度,将 政府机构的信息系统划分为不 同的等级,并按照等级保护要
求进行安全防护。
02
安全风险评估与整改
对信息系统的安全风险进行全 面评估,识别存在的安全隐患 和漏洞,并制定整改措施,确 保系统安全性符合等级保护要
安全管理
建立完善的安全管理 制度,明确各级安全 管理职责,确保各项 安全措施的有效执行 。
监督与检查机制
01
定期监督检查
相关部门应定期对等级保护对 象的运行情况进行监督检查。
02
不定期抽查
相关部门可不定期对等级保护 对象进行抽查,以确保各项安
全措施的有效执行。
2020「网络安全等级保护定级指南」最新解读,这些重点必须注意!
2020「网络安全等级保护定级指南」最新解读,这些重点必须注意!新版《GBT 22240-2020 信息安全技术网络安全等级保护定级指南》正式发布,新的国标将于2020年11月1日正式实施。
腾讯安全平台部天幕团队联合腾讯安全专家咨询中心、云鼎实验室、安全管理部标准团队,针对新版定级指南的一些变化划重点解读,供广大企业参考。
01定级原理及流程1、安全保护等级如何划分?本部分变化较小,依旧是五个等级,从一级到五级由低到高。
现在对于定级系统的称呼统一改为等级保护对象(旧标准中称为信息系统),这也与等保2.0其他系列标准保持一致。
2、等保定级要素都有哪些?要素可以说基本没有变化,依旧沿用之前的定义。
•等级保护对象要素的两个方面:1)受侵害的客体;2)对客体的侵害程度。
•等级保护对象受侵害客体的三个方面:1)公民、法人和其他组织的合法权益;2)社会秩序、公共利益;3)国家安全。
•等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种:1)造成一般损害;2)造成严重损害;3)造成特别严重损害。
•定级要素与安全保护等级的关系之前行业内关于等保2.0基本要求的解读中,曾经提过对于公民、法人和其他组织和合法权益受到特别严重损害会定为第三级,但是从新版《指南》的官方结论,依旧按照旧版定为第二级,这里明确说明一下。
3、定级流程是怎样的?第二级及以上等级保护对象定级流程新增专家评审环节,不再自主定级,需要聘请专家认定等级保护对象的级别。
02确定定级对象1、哪些企业和机构需要定级备案?定级对象的范围相比旧标准变化较多,本次《指南》包含了云计算、物联网、工业控制系统、采用移动互联技术的系统、通信网络设施以及数据资源,我们来具体看下。
通用定级对象基本特征明确,共计三点:•具有确定的主要安全责任体;•承载相对独立的业务应用;•包含相互关联的多个资源。
从这几个特征来看,基本互联网上的系统差不多都要定级备案。
《指南》给出了有关安全责任主体的解释:包括但不限于企业、机关和事业单位等法人,以及不具备法人资格的社会团体等其他组织。
等级保护新标准(2.0)介绍
等级保护新标准(2.0)介绍等级保护新标准(2.0)介绍一、引言1.1 编写目的旨在介绍等级保护新标准(2.0)的内容、原则和应用范围,为相关人员提供参考依据。
1.2 背景随着信息技术的发展,现有的等级保护标准逐渐不能满足对信息安全的要求。
为适应新的安全环境和技术发展,需要制定新的等级保护标准。
二、等级保护新标准(2.0)概述2.1 定义等级保护新标准(2.0)是针对信息系统、网络和数据等级分类,并提供相应的保护措施的标准。
2.2 内容2.2.1 等级分类:将信息系统、网络和数据划分为不同的等级,包括高级、中级和低级等级。
2.2.2 保护要求:对不同等级的信息系统、网络和数据提出相应的保护要求,包括物理安全、网络安全、数据安全等方面。
2.2.3 保护措施:根据保护要求,采取相应的技术和管理措施来保护信息系统、网络和数据的安全。
2.2.4 评估和认证:对符合等级保护新标准的信息系统、网络和数据进行评估和认证。
三、等级保护新标准(2.0)详细说明3.1 等级分类3.1.1 高级等级:适用于国家级涉密信息系统、网络和数据,要求最严格的保护措施。
3.1.2 中级等级:适用于省级涉密信息系统、网络和数据,要求较高的保护措施。
3.1.3 低级等级:适用于市级涉密信息系统、网络和数据,要求一般的保护措施。
3.2 保护要求3.2.1 物理安全要求:包括设备存放、防火防灾、门禁控制等方面的要求。
3.2.2 网络安全要求:包括网络隔离、入侵检测、安全传输等方面的要求。
3.2.3 数据安全要求:包括数据备份、加密传输、权限控制等方面的要求。
3.3 保护措施3.3.1 技术措施:采用防火墙、入侵检测系统、加密技术等技术手段来实现保护要求。
3.3.2 管理措施:制定安全管理制度、进行安全培训、定期演练等管理手段来实现保护要求。
3.4 评估和认证3.4.1 评估要求:对符合等级保护新标准的信息系统、网络和数据进行评估,评估包括安全性能测试、漏洞扫描等。
等级保护新标准(2.0)介绍
等级保护新标准(2.0)介绍等级保护新标准(2.0)介绍1. 引言1.1 项目背景1.2 目的和范围1.3 目标受众2. 标准概述2.1 等级保护定义2.2 等级保护分类2.2.1 机密性等级2.2.2 完整性等级2.2.3 可用性等级3. 标准要求3.1 等级保护等级划分3.1.1 机密性等级划分要求3.1.2 完整性等级划分要求3.1.3 可用性等级划分要求3.2 等级保护控制要素3.2.1 物理安全要素3.2.2 逻辑安全要素3.2.3 人员安全要素3.3 等级保护评估方法3.3.1 等级保护评估流程3.3.2 评估模型与指标4. 系统实施4.1 系统规划和设计4.2 系统实施和配置4.3 系统测试和验证5. 系统运维和监控5.1 系统运维管理5.2 安全事件响应6. 等级保护培训和教育6.1 培训计划6.2 员工教育和意识提升7. 附录7.1 附件一:等级保护标准术语表7.2 附件二:等级保护评估模型7.3 附件三:等级保护流程图7.4 附件四:等级保护评估指标列表7.5 附件五:等级保护示例控制措施8. 参考文献所涉及附件如下:1. 附件一:等级保护标准术语表2. 附件二:等级保护评估模型3. 附件三:等级保护流程图4. 附件四:等级保护评估指标列表5. 附件五:等级保护示例控制措施所涉及的法律名词及注释如下:1. 机密性:指信息或系统仅限于授权人员访问和使用,对未经授权的人员具有保密性2. 完整性:指信息或系统在未接受未授权更改的情况下保持完全性和准确性3. 可用性:指信息或系统在需要时可及时访问和使用在实际执行过程中可能遇到的困难及解决办法如下:1. 困难:不同等级保护需求之间的冲突导致难以达到平衡。
解决办法:进行风险评估和权衡,根据实际情况进行适度的调整和平衡。
2. 困难:现有系统与等级保护标准的不兼容性。
解决办法:进行系统分析和改进,逐步更新系统以符合等级保护标准的要求。
3. 困难:员工对等级保护标准的理解和接受度不足。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
横向扩展了对 云计算、移动 互联网、物联 网、工业控制 系统的安全要 求;
纵向扩展了对 等保测评机构 的规范管理。
( 注 : 基 于 2017 年等级保护标 准系列征求意 见稿)
未变化
修订内容
新增
8
等级保护2.0标准体系
等保1.0
等保2.0
公安部已于2017年5月率先发布《网络安全等级保护定级指南》、《网络安全等级保护基本要求 第5部分:工业 控制系统安全扩展要求》等4个行业标准。
信 息 系 统 安 全 等 级 保 护 实 施 指 南 》
信 息 系 统 等 级 保 护 安 全 设 计 技 术 要 求
信 息 系 统 安 全 等 级 保 护 测 评 要 求 》
信 息 系 统 安 全 等 级 保 护 测 评 过 程 指 南
》
》
7
等级保护2.0标准体系
等保1.0
等保2.0
正式更名为网 络安全等级保 护标准;
5
1
等级保护发展历程与展望
2
等级保护2.0标准体系
√
3
等级保护2.0基本要求解析
4
等级保护2.0扩展要求解析
6等级Biblioteka 护2.0标准体系等保1.0
等保2.0
GB 17859-1999 《计算机信息系统安全保护等级划分准则》
《《《《《《
信 息 系 统 安 全 等 级 保 护 定 级 指 南 》
信 息 系 统 安 全 等 级 保 护 基 本 要 求 》
• 2007年6月,四部门联合出台《信息安全等级保护管理办法》。 • 2007年7月,四部门联合颁布《关于开展全国重要信息系统安全等级保护定级工作的通知》。 • 2007年7月20日,召开全国重要信息系统安全等级保护定级工作部署专题电视电话会议,标志着信
息安全等级保护制度正式开始实施。
• 2010年4月,公安部出台《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》 ,提出等级保护工作的阶段性目标。
等级保护工作内容将持续扩展
在定级、备案、建设整改、等级测评和监督检查等规定 动作基础上,2.0时代风险评估、安全监测、通报预警、案 事件调查、数据防护、灾难备份、应急处置、自主可控、 供应链安全、效果评价、综治考核等这些与网络安全密切 相关的措施都将全部纳入等级保护制度并加以实施。
等级保护对象将不断拓展
• 2010年12月,公安部和国务院国有资产监督管理委员会联合出台《关于进一步推进中央企业信息 安全等级保护工作的通知》,要求中央企业贯彻执行等级保护工作。
3
等级保护发展历程与展望
等保1.0时代 等保2.0工作
展望
• 2016年10月10日,第五届全国信息安全等级保护技术大召开,公安部网络安全保卫局郭启全总工 指出“国家对网络安全等级保护制度提出了新的要求,等级保护制度已进入2.0时代”。
等级保护新标准(2.0)介绍
1
等级保护发展历程与展望
√
2
等级保护2.0标准体系
3
等级保护2.0基本要求解析
4
等级保护2.0扩展要求解析
2
等级保护发展历程与展望
等保1.0时代 等保2.0工作
展望
• 1994年,国务院颁布《中华人民共和国计算机信息系统安全保护条例》,规定计算机信息系统实 行安全等级保护。
GA/T 1390.2—2017《信息安全技术 网络安全等级保护基本要求 第 2 部分:云计算安全扩展要求》
针对云计算架构的特点,对云计算环境下的物理位置、虚拟化网络、虚拟机、云服务方、云租户、虚拟镜像等技术保护要求,以及 云服务商选择、SLA协议、云安全审计等安全管理要求进行了规定。
• 2016年11月7日,《中华人民共和国网络安全法》正式颁布,第二十一条明确“国家实行网络安全 等级保护制度……”
• 以《GB17859 计算机信息系统安全保护等级划分准则 》、《GB/T22239-2008 信息安全技术 信 息系统安全等级保护基本要求 》为代表的等级保护系列配套标准,习惯称为等保1.0标准。
• 2013年,全国信息安全标准化技术委员会授权WG5-信息安全评估工作组开始启动等级保护新标 准的研究。
• 2017年1月至2月,全国信息安全标准化技术委员会发布《 网络安全等级保护基本要求》系列标准 、《 网络安全等级保护测评要求 》系列标准等“征求意见稿”。
• 2017年5月,国家公安部发布《GA/T 1389—2017 网络安全等级保护定级指南》、《GA/T 1390.2—2017 网络安全等级保护基本要求 第 2 部分:云计算安全扩展要求》等4个公共安全行业 等级保护标准。
GA/T 1389—2017《信息安全技术 网络安全等级保护定级指南》
在国标《信息安全等级保护定级指南》的基础上细化优化了对客体侵害事项、侵害程度的定义,确定了对基础信息网络、工业控制 系统 、云计算平台 、物联网、采用移动互联技术的信息系统 、大数据等对象的定级原则,进一步明确了定级过程中专家审查、主管 部门审核、公安机关备案审查等节点的管理要求。
4
等级保护发展历程与展望
等保1.0时代 等保2.0工作
展望
等级保护2.0时代,将根据信息技术发展应用和网络安全态势,不断丰富制度内涵、拓展保护范围、完善监 管措施,逐步健全网络安全等级保护制度政策、标准和支撑体系。
等级保护上升为法律
《中华人民共和国网络安全法》第21条规定“国家实行 网络安全等级保护制度”,要求“网络运营者应当按照网络 安全等级保护制度要求,履行安全保护义务”;第31条规定 “对于国家关键信息基础设施,在网络安全等级保护制度的 基础上,实行重点保护”。
• 2003年,中央办公厅、国务院办公厅颁发《国家信息化领导小组关于加强信息安全保障工作的意 见》(中办发[2003]27号)明确指出“实行信息安全等级保护”。
• 2004-2006年,公安部联合四部委开展涉及65117家单位,共115319个信息系统的等级保护基础 调查和等级保护试点工作,为全面开展等级保护工作奠定基础。
随着云计算、移动互联、大数据、物联网、人工智能 等新技术不断涌现,计算机信息系统的概念已经不能涵盖 全部,特别是互联网快速发展带来大数据价值的凸显,等 保保护对象的外延将不断拓展。
等级保护体系将进行重大升级
2.0时代,主管部门将继续制定出台一系列政策法规和 技术标准,形成运转顺畅的工作机制,在现有体系基础上 ,建立完善等级保护政策体系、标准体系、测评体系、技 术体系、服务体系、关键技术研究体系、教育训练体系等 。