赞
踩
通俗讲等级保护是什么?
信息安全等级保护是指对国家秘密信息、法人和其他 组织及公民的专有信息以及公开信息和存储、传输、处理 这些信息的信息系统分等级实行安全保护,对信息系统中 使用的信息安全产品实行按等级管理,对信息系统中发生 的信息安全事件分等级响应、处置。
等级保护2.0-法律依据-网络安全法
第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安 全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏 或者未经授权的访问,防止网络数据泄露或者被窃取、篡改;
1.制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安 全保护责任;
2.采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术 措施;
3.采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定 留存相关的网络日志不少于六个月;
4.采取数据分类、重要数据备份和加密等措施;
5.法律、行政法规规定的其他业务。
第三十一条 国家公共通信和信息服务、能源、交通、水利、金融、 公共服务、电子政务等重要行业和领域,以及一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键基础设施,在网络安全等级保护的基础上,实行重点保护。
关键基础设施的具体范围和安全保护办法由国务院制定。
网络安全等级保护2.0-主要标准
1.网络安全等级保护条例
2.计算机信息系统安全保护等级划分准则(GB 17859-1999)(上位标准)
3.网络安全等级保护实施指南(GB/T25058)
4.网络安全等级保护定级指南(GB/T22240)
5. 网络安全等级保护基本要求(GB/T22239-2019)
6. 网络安全等级保护设计技术要求(GB/T25070-2019)
7. 网络安全等级保护测评要求(GB/T28448-2019)
8. 网络安全等级保护测评过程指南(GB/T28449-2018)
标准修订背景
1.为了配合网络安全法的实施,为了适应移动互联、云计算、大数据、物联网和工业控制等新技术、新应用情况下等级保护工作的开展。
2.国际标准27000系列和美国联邦NIST800-53系列安全相关标准和规范在2013和2014年发布了新的版本,内容进行了调整。
3.有必要对GB/T22239-2008进行修订,在适用性、时效性、易用性、可操作性上进一步完善。
形成草案第一稿
2014年4月至6月标准编制组在前述工作成果《等级保护 基本要求修订研究报告》的基础上,对原国家标准《信 息安全技术 信息系统安全等级保护基本要求》(GB/T 22239-2008)按照级别和层面进行了修订项的梳理,形 成了《基本要求草案修订汇总表》,修订出标准草案第 一稿
形成草案第二稿
1.基本要求的修订思路进行调整,标准变为系列标准。
2.2014年7月至2015年3月各个标准编制组:
3.2015年3月完成基本要求–安全通用要求草案第二稿。
评审和修订进程简介
1.2015年4月29日第一次专家评审会
2.2015年12月8日第二次专家评审会
3.2016年7月1日第三次专家评审会
4.2016年9月参加安标委WG5工作组在研标准推进会,对草案再次进行修改,形成了标准征求意见稿。
第一次大变化
2017年12月,安标委组织标准专家审查组对标准送审稿进行审查,编制组根据意见再次修订标准,形成标准报批稿。
第二次变化
1.2018年7月根据意见再次调整分类结构和强化可信计算。
2.充分体现一个中心,三重防御的思想。
3.充分强化可信计算技术使用的要求。
下篇–总体的结构变化
信息产业信息安全测评中心 张益 ↩︎
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。