Ⅰ 等級保護新標准2.0解讀
2019年,等保2.0相關的《信息安全技術 網路安全等級保護基本要求》、《信息安全技術 網路安全等級保護測評要求》、《信息安全技術 網路安全等級保護安全設計技術要求》等國家標准正式發布,並於2019年12月1日開始實施,我國也正式邁入等保2.0時代。
下面是等保2.0三大核心新標準的介紹:
1、GB/T 22239-2019 《信息安全技術 網路安全等級保護基本要求》
該項標準是等級保護標准體系的核心,對2008版標准中提出的基本要求進行了修改完善,形成安全通用要求;對雲計算、大數據、移動互聯、物聯網、工業控制等新技術和新應用領域,提出了安全擴展要求。
2、GB/T25070-2019 《信息安全技術 網路等級保護安全設計技術要求》
該標准主要對共性安全保護目標提出通用安全設計技術要求,該標准適用於指導運營使用單位、網路安全企業、網路安全服務機構開展網路安全等級保護安全技術方案的設計和實施,也可作為網路安全職能部門進行監督、檢查和指導的依據。
3、GB/T28448-2019 《信息安全技術 網路安全等級保護測評要求》
該標准與等級保護基本要求保持一致,主要明確了測評對象、測評判定規則等內容。該標准為安全測評服務機構、等級保護對象的主管部門及運營使用單位對等級保護對象的安全狀況進行安全測評提供指南。信息安全監管職能部門進行網路安全等級保護監督檢查時參考使用。
此外,從等保1.0到等保2.0,等級保護發生的主要變化有:
1、意義的變化
由信息安全等級保護→網路安全等級保護,強調網路空間安全。網路安全法第21條、第31條明確規定了網路運營者和關鍵信息基礎設施運營者,都應該按網路安全等級保護制度的要求對系統進行安全保護,以法律的形式確定等級保護工作為國家網路安全的基本國策,並在法律層面確立了其在網路安全領域的基礎、核心地位。
2、對象的變化
新等保實現了保護對象的全覆蓋,更具普適性與指導性,對象擴大了(包括基礎網路),通用要求加擴展要求(工控、雲計算、大數據、物聯網、移動互聯),更適應當前信息化高速發展所面臨的新問題新挑戰。
3、定級的變化
三級系統的定級新增了一類受侵害客體:對於公民、法人和其他組織的合法權益造成嚴重影響的應定為三級。
4、測評標準的變化
測評要求的測評單元中增加了【測評對象】項,進一步明確了測評的對象。測評條件更具適應性但是要求更嚴格(復測評周期、測評控制項的減少、合規基線上調測評75分以上合格,當然這部分要求在部分地區部分行業主管單位現行等保標准也有基於現狀及預期效果有彈性要求、例如個別地區衛健委要求醫院等保初次等保測評合格分數基線為80分,復測評合格分數基線為85分)、某省金融行業等保測評合格分數基線為90分。四級及以上系統復測評周期延長,改為一年為復測評周期,兼顧考慮了實際等級保護工作所面臨的復雜情況,更符合實際工作的場景。
5、定級備案實施方面的變化
等保2.0在定級備案實施也發生了變化,在備案環節原30天內備案的時間縮短為10個工作日。等保2.0的定級,不是自主定級,到公安機關定級備案前要新增兩個關鍵環節,確保定級備案的嚴謹與准確,第一對於定級對象的等級要經過專家評審,第二要經得主管部門審核通過,才能到公安機關備案確定最終等級保護對象的級別,整體定級更加嚴格。新建的第三級以上定級對象,通過等級測評後方可投入運行,加強「同步性」原則。
6、其他
從等級保護2.0框架中能夠體現「一個中心,三重防護」的思想得以升華,等保2.0標准體系相比現行等保標準的安全體系更注重動態防禦(變被動防護為主動防護,變靜態防護為動態防護,變單點防護為整體防控,變粗放防護為精準防護),強調事前預防、事中響應、事後審計。等級保護2.0體系中要求應依據國家網路安全等級保護政策和標准,開展組織管理、機制建設、安全規劃、安全監測、通報預警、應急處置、態勢感知、能力建設、監督檢查、技術檢測、安全可控、隊伍建設、教育培訓和經費保障等工作。
等保2.0首次加入了可信計算的相關要求並分級逐級提出可採用可信驗證的要求。注意是可採用不是應採用。另外在惡意代碼防範方面三級系統要求或採用主動免疫可信驗證機制。四級以上惡意代碼防範方面要求應採用主動免疫可信驗證機制。
等保2.0新增個人信息保護內容,個人信息安全做為網路安全法的內容在等保要求控制項中也獨立出現,在當前政務互通、人物互聯,個人信息被廣泛採集的商業、政務環境下,意指提升個人信息保護的重要性和必要性。
Ⅱ 等級保護 測評 如何打分
等保2.0中等級測評結論:
a)符合:
定級對象中未發現安全問題,等級測評結果中所有測評項的單項測評結果中部分符合和不符合項的統計結果全為0,綜合得分為100分。
b)基本符合:
定級對象中存在安全問題,部分符合和不符合項的統計結果不全為0,但存在的安全問題不會導致定級對象面臨高等級安全風險,且綜合得分不低於閾值。
c)不符合:
定級對象中存在安全問題,部分符合項和不符合項的統計結果不全為0,而且存在的安全問題會導致定級對象面臨高等級安全風險,或者綜合得分低於閾值。
單項測評報告表一般如下圖所示:
總體安全狀況分析
等級保護測評打分一般是由上面這兩部分的內容來確定的,關注這兩部分的內容,就可以知道哪些網路安全防護做的還不夠好,哪些做得還不錯,對於接下來的等級保護的完善很有意義。
Ⅲ 信息系統安全等級保護測評報告
網路安全等級保護備案辦理流程:
一步:定級;(定級是等級保護的首要環節)
二步:備案;(備案是等級保護的核心)
三步:建設整改;(建設整改是等級保護工作落實的關鍵)
四步:等級測評;(等級測評是評價安全保護狀況的方法)
五步:監督檢查。(監督檢查是保護能力不斷提高的保障)
證書案例
Ⅳ 等級保護工作開展的基本流程是什麼
一、系統定級階段
(一)責任人
? 各信息系統主管部門和運營使用單位
? 市信息辦安全中心
(二)工作內容和標准
1.各信息系統主管部門和運營使用單位應依據《信息安全等級保護管理辦法》及《信息系統安全等級保護定級指南(報批稿)》,自主確定系統等級。
2.可聘請專家對定級情況進行評審,出具評審意見;參照專家評審意見確定系統等級,形成定級報告。
3.市信息辦安全中心負責定級的咨詢服務工作(定級方法及流程),開通等級保護咨詢服務熱線。
(三)工作成果
? 專家評審意見
? 信息系統安全定級報告
二、系統定級備案階段
(一)責任人
? 信息系統主管部門和運營使用單位
? 市信息辦
? 各區縣信息辦
? 市電子政務等級保護專家組
(二)工作內容和標准
1.系統定級備案材料
? 《信息系統安全等級保護備案表》:單位基本情況、信息系統情況、信息系統定級情況、第三級以上信息系統提交材料情況;
? 備案電子數據:利用備案軟體生成的rar文件
2、系統定級備案材料的報送方式
? 《信息系統安全等級保護備案表》:通過公文交換報送至同級信息化主管部門;
? 備案電子數據:郵件發送(或由專人遞送)至同級信息化主管部門。
3、各區縣信息辦負責匯總所掌握的備案電子數據文件,每月月底前向市信息辦報送;
4、市信息辦接到備案材料及電子數據文件後,於10個工作日內完成材料審查,並對系統安全等級進行初步審核,如果:
? 接受備案,撰寫《信息系統安全保護等級備案情況復函》-A;
? 資料不全,撰寫《信息系統安全保護等級備案情況復函》-B;
? 明顯定級不準,提請市電子政務等級保護專家組進行再評審,同時撰寫《信息系統安全保護等級備案情況復函》-C,並正式復函備案信息系統主管部門和運營使用單位。
5、由市信息辦牽頭,成立市電子政務等級保護專家組,定期對備案明顯不準的系統進行再評審,並協調系統運營使用單位對系統級別進行調整。
(三)工作成果
? 《信息系統安全保護等級備案情況復函》-A
? 《信息系統安全保護等級備案情況復函》-B
? 《信息系統安全保護等級備案情況復函》-C
? 《XXXX信息系統定級專家評審意見》
三、評估和整改建設階段
(一)責任人
? 信息系統運營使用單位
? 市信息辦
? 市電子政務等級保護專家組
(二)工作內容和標准
1.信息系統運營使用單位負責系統的風險評估和整改建設工作, 重要信息系統的運營使用單位應將系統等級保護整改建設方案報市信息辦;
2.市信息辦安全處、安全中心負責等級保護咨詢工作,並推薦具有資質的風險評估實施單位、檢測機構以及安全服務公司。
3.市電子政務等級保護專家組,負責電子政務重要信息系統等級保護整改建設方案的評審工作。
(三)工作成果
? 等級保護整改建設方案;
? 整改建設方案的評審意見;
四、等級測評階段
(一)責任人
? 信息系統運營使用單位
? 市信息辦
(二)工作內容和標准
電子政務信息系統的運營使用單位應落實系統安全等級測評資金保障工作,同時開展等級測評工作。
? 二級系統應按照《信息安全等級保護管理辦法》的要求,由運營單位選擇有資質的測評機構開展等級測評,形成等級測評報告,上報同級信息化主管部門(市信息辦和區縣信息辦);
? 三級(及以上)系統的等級測評由市信息辦統一組織實施。
市信息辦安全中心負責跟蹤重要信息系統等級測評工作的進展。
(三)工作成果
? 《信息系統安全等級測評報告》;
? 重要信息系統等級測評工作的進展情況
五、監督檢查階段
(一)責任人
? 信息系統運營使用單位
? 市信息辦
(二)工作內容和標准
? 由市信息辦牽頭,會同相關部門,對市各委辦局信息系統(尤其是重要信息系統)等級保護制度的落實情況,每年進行一次聯合執法檢查;
? 對於本市重要的電子政務系統,市信息辦將分批用兩年的時間對所有重要的電子政務系統完成進行一次檢查評估。
(三)工作成果
? 執法檢查情況報告
? 檢查評估報告
Ⅳ 詳細信息安全等級保護測評流程
網路安全等級保護備案辦理流程:
一步:定級;(定級是等級保護的首要環節)
二步:備案;(備案是等級保護的核心)
三步:建設整改;(建設整改是等級保護工作落實的關鍵)
四步:等級測評;(等級測評是評價安全保護狀況的方法)
五步:監督檢查。(監督檢查是保護能力不斷提高的保障)
網路安全等級保護備案共分為五級:
① 第一級,等級保護對象受到破壞後,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益;
② 第二級,等級保護對象受到破壞後,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全;
③ 第三級,等級保護對象受到破壞後,會對公民、法人和其他組織的合法權益產生特別嚴重損害,或者對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害;
④ 第四級,等級保護對象受到破壞後,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害;
⑤ 第五級,等級保護對象受到破壞後,會對國家安全造成特別嚴重損害。
證書案例
Ⅵ 等級保護2.0國家標准
網路安全等級保護制度》2.0國家標准發布,其中關於企業數據保護有以下要求:應提供重要數據的本地數據備份與恢復能力;應提供異地數據備份功能,利用通信網路能將重要數據定時批量傳送至備用場地,應識別需要定期備份的重要業務信息、系統數據及軟體系統等;應規定備份信息的備份方式、備份頻度、存儲介質、保質期等;應根據數據的重要性和數據對系統運行的影響,制定數據的備份策略和恢復策略,備份程序和恢復程序等。該標準的發布標志著我國網路安全等級保護工作正式進入「2.0時代」。等級保護工作的落實有效提升了我國的網路安全防護能力。等保2.0的發布,是對除傳統信息系統之外的新型網路系統安全防護能力提升的有效補充,是貫徹落實《中華人民共和國網路安全法》、實現國家網路安全戰略目標的基礎。
【拓展資料】
國家市場監督管理總局、國家標准化管理委員會召開新聞發布會,等保2.0相關的《信息安全技術網路安全等級保護基本要求》、《信息安全技術網路安全等級保護測評要求》、《信息安全技術網路安全等級保護安全設計技術要求》等國家標准正式發布,將於2019年12月1日開始實施。
發布會由市場監督管理總局新聞宣傳司領導主持。市場監督管理總局標准技術司副司長通報國家標准制定流程改革情況並發布重要國家標准。公安部信息安全等級保護評估中心規劃咨詢部副主任陳廣勇對《信息安全技術網路安全等級保護基本要求》國家標准進行了解讀。
信息安全等級保護制度是國家信息安全保障工作的基礎,也是一項事關國家安全、社會穩定的政治任務。通過開展等級保護工作,發現企業網路和信息系統與國家安全標准之間存在的差距,找到目前系統存在的安全隱患和不足,通過安全整改,提高信息系統的信息安全防護能力,降低系統被各種攻擊的風險。
相較於2007年實施的《信息安全等級保護管理辦法》所確立的等級保護1.0體系,為了適應現階段網路安全的新形勢、新變化以及新技術、新應用發展的要求,2018年公安部正式發布《網路安全等級保護條例(徵求意見稿)》,國家對信息安全技術與網路安全保護邁入2.0時代。
據了解,原來的保護對象主要包括各類重要信息系統和政府網站,保護方法主要是對系統進行定級備案、等級測評、建設整改、監督檢查等,在此基礎上,等保2.0擴大了保護對象的范圍、豐富了保護方法、增加了技術標准。等保2.0將網路基礎設施、重要信息系統、大型互聯網站、大數據中心、雲計算平台、物聯網系統、工業控制系統、公眾服務平台等全部納入等級保護對象,並將風險評估、安全監測、通報預警、案事件調查、數據防護、災難備份、應急處置、自主可控、供應鏈安全、效果評價、綜治考核、安全員培訓等工作措施全部納入等級保護制度。
有國內專業機構表示,等保2.0國家標准對比等保1.0,在保護范圍、法律效力、技術標准、安全體系、定級流程、定級指導等方面均發生變化,信息安全系統改造在即。等保2.0做出對關鍵信息基礎設施「定級原則上不低於三級」的指導,測評分數的要求由60分提升至75分以上,且第三級及以上信息系統每年或每半年就要進行一次測評。國家重點行業將帶頭加大信息安全產品和咨詢服務的持續投入。回顧我國信息安全產業曾在等保1.0影響下進入加速發展期,專家預計,等保2.0將繼續帶動行業大發展,至少打開百億級以上增量市場空間。
Ⅶ 等級保護中的高風險項是指等保測評時可以一票否決的問題出現一個折結論為差正
等保測評中的高風險項為一票否決項,不管基礎分數有多高,存在高風險項即視為差。
(目前等保測評出具的結果為分數段形式,分為優良中差,70分以下為差,70-8-、80-90、90-100分別對應中良優,存在高風險項一律為差)
Ⅷ 網路安全等級保護2.0國家標准
等級保護2.0標准體系主要標准如下:1.網路安全等級保護條例2.計算機信息系統安全保護等級劃分准則3.網路安全等級保護實施指南4.網路安全等級保護定級指南5.網路安全等級保護基本要求6.網路安全等級保護設計技術要求7.網路安全等級保護測評要求8.網路安全等級保護測評過程指南。
第一級(自主保護級),等級保護對象受到破壞後,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益;
第二級(指導保護級),等級保護對象受到破壞後,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全;
第三級(監督保護級),等級保護對象受到破壞後,會對公民、法人和其他組織的合法權益產生特別嚴重損害,或者對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害;
第四級(強制保護級),等級保護對象受到破壞後,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害;
第五級(專控保護級),等級保護對象受到破壞後,會對國家安全造成特別嚴重損害
相較於1.0版本,2.0在內容上到底有哪些變化呢?
1.0定級的對象是信息系統,2.0標準的定級的對象擴展至:基礎信息網路、雲計算平台、物聯網、工業控制系統、使用移動互聯技術的網路以及大數據平台等多個系統,覆蓋面更廣。
再者,在系統遭到破壞後,對公民、法人和其他組織的合法權益造成特別嚴重損害的由原來的最高定為二級改為現在的最高可以定為三級。
最後,等保2.0標准不再強調自主定級,而是強調合理定級,系統定級必須經過專家評審和主管部門審核,才能到公安機關備案,定級更加嚴格。
總結通過建立安全技術體系和安全管理體系,構建具備相應等級安全保護能力的網路安全綜合防禦體系,開展組織管理、機制建設、安全規劃、通報預警、應急處置、態勢感知、能力建設、監督檢查、技術檢測、隊伍建設、教育培訓和經費保障等工作。法律依據:《中華人民共和國網路安全法》
第二十一條國家實行網路安全等級保護制度。網路運營者應當按照網路安全等級保護制度的要求,履行下列安全保護義務,保障網路免受干擾、破壞或者未經授權的訪問,防止網路數據泄露或者被竊取、篡改:
(一)制定內部安全管理制度和操作規程,確定網路安全負責人,落實網路安全保護責任;
(二)採取防範計算機病毒和網路攻擊、網路侵入等危害網路安全行為的技術措施;
(三)採取監測、記錄網路運行狀態、網路安全事件的技術措施,並按照規定留存相關的網路日誌不少於六個月;
(四)採取數據分類、重要數據備份和加密等措施;
(五)法律、行政法規規定的其他義務。
第三十一條國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施,在網路安全等級保護制度的基礎上,實行重點保護。關鍵信息基礎設施的具體范圍和安全保護辦法由國務院制定。
國家鼓勵關鍵信息基礎設施以外的網路運營者自願參與關鍵信息基礎設施保護體系。
Ⅸ 等級保護測評流程是什麼
等保2.0全稱網路安全等級保護2.0制度,是我國網路安全領域的基本國策、基本制度。等級保護標准在1.0時代標準的基礎上,注重主動防禦,從被動防禦到事前、事中、事後全流程的安全可信、動態感知和全面審計,實現了對傳統信息系統、基礎信息網路、雲計算、大數據、物聯網、移動互聯網和工業控制信息系統等級保護對象的全覆蓋。
Ⅹ 什麼是網路安全等級保護
等級保護是我們國家的基本網路安全制度、基本國策,也是一套完整和完善的網路安全管理體系。遵循等級保護相關標准開始安全建設是目前企事業單位的普遍要求,也是國家關鍵信息基礎措施保護的基本要求。
網路安全等級保護辦理流程是:
一步:定級;(定級是等級保護的首要環節)
二步:備案;(備案是等級保護的核心)
三步:建設整改;(建設整改是等級保護工作落實的關鍵)
四步:等級測評;(等級測評是評價安全保護狀況的方法)
五步:監督檢查。(監督檢查是保護能力不斷提高的保障)
網路安全等級保護備案共分為五級:
① 第一級,等級保護對象受到破壞後,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益;
② 第二級,等級保護對象受到破壞後,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全;
③ 第三級,等級保護對象受到破壞後,會對公民、法人和其他組織的合法權益產生特別嚴重損害,或者對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害;
④ 第四級,等級保護對象受到破壞後,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害;
⑤ 第五級,等級保護對象受到破壞後,會對國家安全造成特別嚴重損害。
證書案例