等保測評工作的主體第三方測評機構,測評機構應當對等保2.0涉及到的雲計算、物聯網、工控等新型系統具有充足的工作能力。
等保專業測評工作中是這項對實踐經驗規定較強的工作中,必須專業測評組織和工作人員在實踐活動全過程中連續不斷積淀和健全各種專業測評方式,標准專業測評主題活動。測評機構的權威性、公正性和質量保證,是維持測評機構生存的基礎,也是保證測評數據、測評結論客觀、准確的基礎。
② 信息安全等級保護二級的認證(等保二級)的流程
可以辦理的,公司辦理等保二級的流程是:
一步:定級;(定級是等級保護的首要環節)
二步:備案;(備案是等級保護的核心)
三步:建設整改;(建設整改是等級保護工作落實的關鍵)
四步:等級測評;(等級測評是評價安全保護狀況的方法)
五步:監督檢查。(監督檢查是保護能力不斷提高的保障)
公司辦理等保二級的要求有兩個:
技術要求
1、物物理安全
2、網路安全
3、主機安全
4、應用安全
5、數據安全
管理要求
1、安全管理機構
2、安全管理制度
3、人員安全管理
4、系統建設管理
5、系統運維管理
證書案例
③ 什麼是信息安全等級保護,評測標准
等級保護是我們國家的基本網路安全制度、基本國策,也是一套完整和完善的網路安全管理體系。遵循等級保護相關標准開始安全建設是目前企事業單位的普遍要求,也是國家關鍵信息基礎措施保護的基本要求。
等級保護測評流程是:
1、摸底調查:摸清信息系統底數,掌握信息系統的業務類型、應用或服務范圍、系統結構等基本情況。
2、確立定級對象:應用系統應按照業務類別不同單獨確定為定級對象,不以系統是否進行數據交換、是否獨享設備為確定定級對象。
3、系統定級:定級是信息安全等級保護工作的首要環節,是開展信息系統安全建設、等級測評、監督檢查等工作的重要基礎。
4、專家批審和主管部門審批:運營使用單位或主管部門在確定系統安全保護等級後,可以聘請專家進行評審。
5、備案:備案單位準備備案工具,填寫備案表,生成備案電子數據,到公安機關辦理備案手續。
6、備案審核:受理備案的公安機關要及時公布備案受理地點、備案聯系方式等,對備案材料進行完整性審核和定級准確審核。
7、系統測評:第三級以上信息系統按《信息系統安全等級保護備案表》表四的要求提交01-07共七分材料。
8、整改實施:根據測評結果進行安全要求整改。
④ 等級保護新標准2.0解讀
2019年,等保2.0相關的《信息安全技術 網路安全等級保護基本要求》、《信息安全技術 網路安全等級保護測評要求》、《信息安全技術 網路安全等級保護安全設計技術要求》等國家標准正式發布,並於2019年12月1日開始實施,我國也正式邁入等保2.0時代。
下面是等保2.0三大核心新標準的介紹:
1、GB/T 22239-2019 《信息安全技術 網路安全等級保護基本要求》
該項標準是等級保護標准體系的核心,對2008版標准中提出的基本要求進行了修改完善,形成安全通用要求;對雲計算、大數據、移動互聯、物聯網、工業控制等新技術和新應用領域,提出了安全擴展要求。
2、GB/T25070-2019 《信息安全技術 網路等級保護安全設計技術要求》
該標准主要對共性安全保護目標提出通用安全設計技術要求,該標准適用於指導運營使用單位、網路安全企業、網路安全服務機構開展網路安全等級保護安全技術方案的設計和實施,也可作為網路安全職能部門進行監督、檢查和指導的依據。
3、GB/T28448-2019 《信息安全技術 網路安全等級保護測評要求》
該標准與等級保護基本要求保持一致,主要明確了測評對象、測評判定規則等內容。該標准為安全測評服務機構、等級保護對象的主管部門及運營使用單位對等級保護對象的安全狀況進行安全測評提供指南。信息安全監管職能部門進行網路安全等級保護監督檢查時參考使用。
此外,從等保1.0到等保2.0,等級保護發生的主要變化有:
1、意義的變化
由信息安全等級保護→網路安全等級保護,強調網路空間安全。網路安全法第21條、第31條明確規定了網路運營者和關鍵信息基礎設施運營者,都應該按網路安全等級保護制度的要求對系統進行安全保護,以法律的形式確定等級保護工作為國家網路安全的基本國策,並在法律層面確立了其在網路安全領域的基礎、核心地位。
2、對象的變化
新等保實現了保護對象的全覆蓋,更具普適性與指導性,對象擴大了(包括基礎網路),通用要求加擴展要求(工控、雲計算、大數據、物聯網、移動互聯),更適應當前信息化高速發展所面臨的新問題新挑戰。
3、定級的變化
三級系統的定級新增了一類受侵害客體:對於公民、法人和其他組織的合法權益造成嚴重影響的應定為三級。
4、測評標準的變化
測評要求的測評單元中增加了【測評對象】項,進一步明確了測評的對象。測評條件更具適應性但是要求更嚴格(復測評周期、測評控制項的減少、合規基線上調測評75分以上合格,當然這部分要求在部分地區部分行業主管單位現行等保標准也有基於現狀及預期效果有彈性要求、例如個別地區衛健委要求醫院等保初次等保測評合格分數基線為80分,復測評合格分數基線為85分)、某省金融行業等保測評合格分數基線為90分。四級及以上系統復測評周期延長,改為一年為復測評周期,兼顧考慮了實際等級保護工作所面臨的復雜情況,更符合實際工作的場景。
5、定級備案實施方面的變化
等保2.0在定級備案實施也發生了變化,在備案環節原30天內備案的時間縮短為10個工作日。等保2.0的定級,不是自主定級,到公安機關定級備案前要新增兩個關鍵環節,確保定級備案的嚴謹與准確,第一對於定級對象的等級要經過專家評審,第二要經得主管部門審核通過,才能到公安機關備案確定最終等級保護對象的級別,整體定級更加嚴格。新建的第三級以上定級對象,通過等級測評後方可投入運行,加強「同步性」原則。
6、其他
從等級保護2.0框架中能夠體現「一個中心,三重防護」的思想得以升華,等保2.0標准體系相比現行等保標準的安全體系更注重動態防禦(變被動防護為主動防護,變靜態防護為動態防護,變單點防護為整體防控,變粗放防護為精準防護),強調事前預防、事中響應、事後審計。等級保護2.0體系中要求應依據國家網路安全等級保護政策和標准,開展組織管理、機制建設、安全規劃、安全監測、通報預警、應急處置、態勢感知、能力建設、監督檢查、技術檢測、安全可控、隊伍建設、教育培訓和經費保障等工作。
等保2.0首次加入了可信計算的相關要求並分級逐級提出可採用可信驗證的要求。注意是可採用不是應採用。另外在惡意代碼防範方面三級系統要求或採用主動免疫可信驗證機制。四級以上惡意代碼防範方面要求應採用主動免疫可信驗證機制。
等保2.0新增個人信息保護內容,個人信息安全做為網路安全法的內容在等保要求控制項中也獨立出現,在當前政務互通、人物互聯,個人信息被廣泛採集的商業、政務環境下,意指提升個人信息保護的重要性和必要性。
⑤ 等級保護測評流程是什麼
等保2.0全稱網路安全等級保護2.0制度,是我國網路安全領域的基本國策、基本制度。等級保護標准在1.0時代標準的基礎上,注重主動防禦,從被動防禦到事前、事中、事後全流程的安全可信、動態感知和全面審計,實現了對傳統信息系統、基礎信息網路、雲計算、大數據、物聯網、移動互聯網和工業控制信息系統等級保護對象的全覆蓋。
⑥ 等級保護定級標準是什麼
2020年4月28日,國家市場監督管理總局和國家標准化管理委員會發布了《GBT 22240-2020信息安全技術網路安全等級保護定級指南》,且該指南將於2020年11月1日正式實施。需要對信息系統進行定級的企業可以以此為定級依據。
根據規定,信息系統一共分五個等級,由一到五級別逐漸升高。
信息系統的五個等級
等級保護對象的級別由兩個定級要素決定:①受侵害的客體。分三個方面,即:公民、法人和其他組織的合法權益;社會秩序、公共利益;國家安全;②對客體的侵害程度。分三種程度,即:造成一般損害;造成嚴重損害;造成特別嚴重損害。
等級保護對象定級工作流程一般為:確定定級對象→初步確定等級→專家評審→主管部門批准→公安機關審核。安全保護等級初步確定為第二級及以上的等級保護對象,其網路運營者依據本標准組織專家評審、主管部門批准和公安機關備案審核,最終確定其安全等級。初步確定為第一級的等級保護對象,可不進行專家評審、主管部門批准和公安機關審核。
⑦ 等保2.0定級指南,你要了解在這里!
2019年12月1日網路安全等級保護2.0國家標準的正式實施,標志著我國網路安全等級保護制度進入了全新時代。作為國家等級保護標准體系的核心標准之一的 GB/T 22240-2020《信息安全技術 網路安全等級保護定級指南》 (以下簡稱「定級指南」)於2020年4月28日發布,2020年11月1日正式實施。
定級指南規定了非涉及國家秘密的等級保護對象的定級方法和流程,通過指導網路運營者合理劃分定級對象和准確的 確定安全保護等級 ,為後續的安全建設整改、等級測評等工作奠定了良好的基礎。
新版定級指南在等級保護1.0定級指南的基礎上,對等級保護對象做了新的定義,增加了對雲大物移工等場景的說明,修改了定級流程,以適應新形勢下等級保護工作的需要,有力推動了等級保護工作的開展。那麼2.0的定級指南正式實施後,我們需要注意哪些點呢?
等級保護對象新定義
等保保護定級對象主要包括: 信息系統 、 通信網路設施 和 數據資源等 。
信息系統 就是我們在1.0時候的定級對象,指的是各類信息系統;
通信網路設施 指的是為信息流通、網路運行等起基礎支撐作用的網路設備設施,主要包括電信網、廣播電視傳輸網和行業或單位的專用通信網等,所以大家得注意了自己單位的專網得定級,特別是承載了重要信息系統或者專網規模較大的網路;
數據資源 指的是具有或預期具有價值的數據集合,數據資源主要是擁有大量各類有價值的數據,那麼這些單位需要保護好這些數據資源,自然需要對該數據資源進行定級,我們可以想像的這類數據有:人社數據、醫保數據、公積金數據、個人財產數據(銀行、房產、保險等)等信息。
定級要素與安全保護等級新關系
依據安全保護等級的定義,定級應綜合考慮「等級保護對象在國家安全、經濟建設、社會生活中的重要程度,以及一旦遭受到破壞、喪失功能或者數據被篡改、泄露、丟失、損毀後,對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的侵害程度等因素」。因此本標准中明確等級保護對象的定級要素為兩個,分別為「 受侵害的客體 」和「 對客體的侵害程度 」。
定級要素與安全保護等級的關系如下。
受侵害的客體表現形式有哪些
定級對象受到破壞時所侵害的客體包括國家安全、社會秩序、公眾利益以及公民、法人和其他組織.
侵害國家安全的事項包括以下方面 :
1.影響國家政權穩固和領土主權、海洋權益完整;
2.影響國家統一、民族團結和社會穩定;
3.影響國家社會主義市場經濟秩序和文化實力;
4.其他影響國家安全的事項。
侵害社會秩序的事項包括以下方面 :
1.影響國家機關、企事業單位、社會團體的生產秩序、經營秩序、教學科研秩序、醫療衛生秩序;影響公共場所的活動秩序.公共交通秩序;
2.影響人民群眾的生活秩序;
3.其他影響社會秩序的事項。
侵害公共利益的事項包括以下方面 :
1.影響社會成員使用公共設施;
2.影響社會成員獲取公開數據資源;
3.影響社會成員接受公共服務等方面;
4.其他影響公共利益的事項。
業務信息安全和系統服務安全受到破壞後,可能產生以下侵害後果 :
1.影響行使工作職能;
2.導致業務能力下降;
3.引起法律糾紛;
4.導致財產損失;
5.造成社會不良影響;
6.對其他組織和個人造成損失;
7.其他影響。
侵害公民法人和其他組織的合法權益是指受法律保護的公民.法人和其他組織所享有的社會權利和利益等受到損害。
確定受侵害的客體時.首先判斷是否侵害國家安全,然後判斷是否侵害社會秩序或公眾利益.最後判斷是否侵害公民,法人和其他組織的合法權益。
等級保護對象新特徵
作為等級保護對象的網路應具有如下基本特徵:
具有確定的主要安全責任主體 ;
承載相對獨立的業務應用 ;
包含相互關聯的多個資源 。
在確定定級對象時,雲計算平台/系統、物聯網、工業控制系統、採用移動互聯技術的系統在滿足以上基本特徵的基礎上,需要滿足以下要求。
定級新流程
對於新建網路、運營者應當依照等級保護相關法律法規要求和本標准,在規劃設計階段確定其安全保護等級;對於跨省或者全國統一聯網運行的網路可以由行業主管(監管)部門統一組織定級工作。安全保護等級初步確定為第二級及以上的等級保護對象,其運營者應當依據標准要求分別進行專家評審、主管部門核准和公安機關備案審核,最終確定其安全保護等級。
專家評審 :定級對象的運營、使用單位應組織信息安全專家和業務專家等,對初步定級結果的合理性進行評審,並出具專家評審意見 。
主管部門審批 :定級對象的運營、使用單位應將初步定級結果報請行業主管(監管)部門核准,並出具核准意見。
公安機關審核 :定級對象的運營、使用單位應按照相關管理規定,將初步定級結果提交公安機關進行備案審查,審查不通過,其運營使用單位應組織重新定級;審查通過後最終確定定級對象的安全保護等級。
⑧ 網路安全等級保護2.0國家標准
等級保護2.0標准體系主要標准如下:1.網路安全等級保護條例2.計算機信息系統安全保護等級劃分准則3.網路安全等級保護實施指南4.網路安全等級保護定級指南5.網路安全等級保護基本要求6.網路安全等級保護設計技術要求7.網路安全等級保護測評要求8.網路安全等級保護測評過程指南。
第一級(自主保護級),等級保護對象受到破壞後,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益;
第二級(指導保護級),等級保護對象受到破壞後,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全;
第三級(監督保護級),等級保護對象受到破壞後,會對公民、法人和其他組織的合法權益產生特別嚴重損害,或者對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害;
第四級(強制保護級),等級保護對象受到破壞後,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害;
第五級(專控保護級),等級保護對象受到破壞後,會對國家安全造成特別嚴重損害
相較於1.0版本,2.0在內容上到底有哪些變化呢?
1.0定級的對象是信息系統,2.0標準的定級的對象擴展至:基礎信息網路、雲計算平台、物聯網、工業控制系統、使用移動互聯技術的網路以及大數據平台等多個系統,覆蓋面更廣。
再者,在系統遭到破壞後,對公民、法人和其他組織的合法權益造成特別嚴重損害的由原來的最高定為二級改為現在的最高可以定為三級。
最後,等保2.0標准不再強調自主定級,而是強調合理定級,系統定級必須經過專家評審和主管部門審核,才能到公安機關備案,定級更加嚴格。
總結通過建立安全技術體系和安全管理體系,構建具備相應等級安全保護能力的網路安全綜合防禦體系,開展組織管理、機制建設、安全規劃、通報預警、應急處置、態勢感知、能力建設、監督檢查、技術檢測、隊伍建設、教育培訓和經費保障等工作。法律依據:《中華人民共和國網路安全法》
第二十一條國家實行網路安全等級保護制度。網路運營者應當按照網路安全等級保護制度的要求,履行下列安全保護義務,保障網路免受干擾、破壞或者未經授權的訪問,防止網路數據泄露或者被竊取、篡改:
(一)制定內部安全管理制度和操作規程,確定網路安全負責人,落實網路安全保護責任;
(二)採取防範計算機病毒和網路攻擊、網路侵入等危害網路安全行為的技術措施;
(三)採取監測、記錄網路運行狀態、網路安全事件的技術措施,並按照規定留存相關的網路日誌不少於六個月;
(四)採取數據分類、重要數據備份和加密等措施;
(五)法律、行政法規規定的其他義務。
第三十一條國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施,在網路安全等級保護制度的基礎上,實行重點保護。關鍵信息基礎設施的具體范圍和安全保護辦法由國務院制定。
國家鼓勵關鍵信息基礎設施以外的網路運營者自願參與關鍵信息基礎設施保護體系。
⑨ 網路安全保護等級由什麼等方面確定
網站等級保護怎樣定級?信息系統安全包括業務信息安全和系統服務安全,與之相關的受侵害客體和對客體的侵害程度可能不同,因此,信息系統定級也應由業務信息安全和系統服務安全兩方面確定。下面就由新網小編和大家講一講網路等級保護網怎樣定級。
一、確定信息系統安全保護等級的一般流程如下:
1、確定作為定級對象的信息系統;
2、確定業務信息安全受到破壞時所侵害的客體;
3、根據不同的受侵害客體,從多個方面綜合評定業務信息安全被破壞對客體的侵害程度,根據業務信息的重要性和受到破壞後的危害性確定業務信息安全等級;
4、確定系統服務安全受到破壞時所侵害的客體;
5、根據不同的受侵害客體,從多個方面綜合評定系統服務安全被破壞對客體的侵害程度,根據系統服務的重要性和受到破壞後的危害性確定系統服務安全等級;
6、由業務信息安全等級和系統服務安全等級的較高者確定定級對象的安全保護等級。