等级保护新标准(2.0)介绍PPT
等级保护新标准介绍PowerPoint 演示文稿
在定级、备案、建设整改、等级测评和监督检查等规定 动作基础上,2.0时代风险评估、安全监测、通报预警、案 事件调查、数据防护、灾难备份、应急处置、自主可控、 供应链安全、效果评价、综治考核等这些与网络安全密切 相关的措施都将全部纳入等级保护制度并加以实施。
等级保护对象将不断拓展
3
等级保护发展历程与展望
等保1.0时代 等保2.0工作
展望
重要标志
2.0系列标 准编制工作
• 2016年10月10日,第五届全国信息安全等级保护技术大召开,公安部网络安全保卫局郭启全总工 指出“国家对网络安全等级保护制度提出了新的要求,等级保护制度已进入2.0时代”。
• 2016年11月7日,《中华人民共和国网络安全法》正式颁布,第二十一条明确“国家实行网络安全 等级保护制度……”
• 2003年,中央办公厅、国务院办公厅颁发《国家信息化领导小组关于加强信息安全保障工作的意 见》(中办发[2003]27号)明确指出“实行信息安全等级保护”。
2004-2006 工作开展准备
• 2004-2006年,公安部联合四部委开展涉及65117家单位,共115319个信息系统的等级保护基础 调查和等级保护试点工作,为全面开展等级保护工作奠定基础。
信 息 系 统 安 全 等 级 保 护 实 施 指 南 》
信 息 系 统 等 级 保 护 安 全 设 计 技 术 要 求
信 息 系 统 安 全 等 级 保 护 测 评 要 求 》
信 息 系 统 安 全 等 级 保 护 测 评 过 程 指 南
》
》
7
等级保护2.0标准体系
等保1.0
等保2.0
正式更名为网 络安全等级保 护标准;
新时代-等级保护2.0安全解决方案ppt课件
三.技术和理论创新
按照“一个中心、三重防护”的总体 思路 开展网络安全技术设计
确立了可信计算技术的重要地位, 结合人工智能、密码保护、生物识 别、大数据分 析等高端技术,落实 网络安全管理要求、 技术要求、测 评要求、设计要求等。
8
THE BUSENESS PLAN
等级保护2.0安全保护实践
9
安
全 观 新标准
国家新标准出台并实施。
没有网络安全就没有国家安全 5
新时期国家网络安全等级保护制度的鲜明特点
一.两个全覆盖
一是覆盖各地区、各单位、各部门、 各企 业、各机构,即是覆盖全社会。
二是覆盖所有保护对象,包括网络、 信息 系统、信息,以及云平台、物 联网、工控系 统、大数据、移动互 联等各类新技术应用
《网络安全等级保护测评 要求》
GB/T 28448--2019
4
等级保护进入2.0时代典型标志
新
时 代
网络安全法
《网络安全法》规定“国家实行网络安全 等级保护制度”。标志 了等级保护制度的 法律地位。
的
网
络
新条例
公安部会同中央网信办、国家保密局和国 家密码管理局,联合起草 并上报了《网络安全等级保护条例》(草案)。
上网行为管理
管理区
管理区FW
接入区
接入用 户
接入用 户
接入用 户
运维审计系统 网络管理系统 日志审计系统 漏洞扫描系统 终端安全准 入系统
态势感知 CIS
13
THE BUSENESS PLAN
新等级保护差异变化
14
网络安全等级保护2.0-主要标准
等保 2.0
国家标准GB/T 22239—2008《信息安全技术 信息系统安全等级保护基本要求》在开展信息安全等级保护工作的过程 中起到了非常重要的作用,被广泛应用于各个行业和领域开展信息安全等级保护的建设整改和等级测评等工作,但是随 着信息技术的发展,GB/T 22239—2008在时效性、易用性、可操作性上需要进一步完善。 为了适应移动互联、云计算、大数据、物联网和工业控制等新技术、新应用情况下信息安全等级保护工作的开展,需对 GB/T 22239—2008进行修订,修订的思路和方法是针对移动互联、云计算、大数据、物联网和工业控制等新技术、 新应用领域提出扩展的安全要求。
等保2.0标准体系详细解读-培训课件
行为;新增实现对网络攻击特别是新型网络攻击行为的分析 恶意代码和垃圾邮件防范:新增垃圾邮件防护 安全审计:新增对远程访问的用户行为、访问互联网的用户行为等单独进行行为
资源控制
7
数据完整性
2
数据安全及 备份恢复
数据保密性
2
备份和恢复
4
安全计算环境
控制点
要求项
身份鉴别
4
访问控制
7
安全审计
4
入侵防范
6
恶意代码防范
1
可信验证
1数据Biblioteka 整性2数据保密性2
数据备份恢复
3
剩余信息保护
2
个人信息保护
2
合计
34
变化列举
身份鉴别:加强用户身份鉴别,采用两种或两种以上鉴别方式,且其中 一种鉴别技术至少应使用密码技术来实现
安全审计 数据完整性 个人信息保护
入侵防范 数据保密性
安全区域边界
边界防护
访问控制
恶意代码和垃圾邮件防范
入侵防范 安全审计
可信验证
安全通信网络 网络架构
通信传输
可信验证
安全物理环境
物理位置选择 防雷击
温湿度控制
物理访问控制 防火
电力供应
防盗窃和防破坏
防水和防潮
防静电
电磁防护
通用要求-安全管理要求的变化
信息安全保障纲领 性文件,明确指出 “实行信息安全等 级保护“主要任务
进一步明确了信息 安全等级保护制度 的职责分工和工作 的要求等基本内容
明确了信息安全等 级保护的五个动作, 为开展等级保护工 作提供了规范保障
等保2.0vs1.0解读PPT参考幻灯片
a) 应在机房供电线路上配置稳压器和过电压防护设备;
a) 应在机房供电线路上配置稳压器和过电压防护设备;
b) 应提供短期的备用电力供应,至少满足主要设备在断电情况下的正常
4 运行要求 c) 应设置冗余或并行的电力电缆线路为计算机系统供电;
3
b) 应提供短期的备用电力供应,至少满足设备在断电情况下的正 常运行要求;
b) 应删除多余或无效的访问控制规则,优化访问控制列表,
并保证访问控制规则数量最小化;
c) 应对源地址、目的地址、源端口、目的端口和协议等进行
检查,以允许/拒绝数据包进出;
8
b) 应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能 力,控制粒度为端口级;
4
c) 应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、
d) 应建立备用供电系统。
c) 应设置冗余或并行的电力电缆线路为计算机系统供电;
a) 应采用接地方式防止外界电磁干扰和设备寄生耦合干扰; 3 b) 电源线和通信线缆应隔离铺设,避免互相干扰
c) 应对关键设备和磁介质实施电磁屏蔽。
a 电源线和通信线缆应隔离铺设,避免互相干扰; 2
b) 应对关键设备实施电磁屏蔽。
a) 水管安装,不得穿过机房屋顶和活动地板下; b) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透;
6 防水和防潮
4 c) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透;
d) 应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。
新版要 求项数
标粗内容为三级和二级的变化;标红为新标准主要变化
重要网段与其他网段之间采取可靠的技术隔离手段;
g) 应按照对业务服务的重要次序来指定带宽分配优先级别,保证
等级保护新标准(2.0)介绍
等级保护新标准(2.0)介绍等级保护新标准(2.0)介绍1. 引言旨在介绍等级保护新标准(2.0),该标准是为了提高信息系统安全等级保护水平而制定的。
将详细描述该标准的内容、要求和实施过程,以便用户能够准确理解和执行该标准。
2. 标准概述等级保护新标准(2.0)是基于先前版本的标准进行改进和完善而制定的,旨在更好地应对当前复杂多变的安全威胁形势。
该标准主要包含以下方面的内容:2.1 等级分类等级保护新标准(2.0)将信息系统按照其重要程度和风险级别分为四个等级:基础等级、一般等级、重要等级和核心等级。
每个等级都有相应的安全措施和要求。
2.2 安全要求针对不同等级的信息系统,等级保护新标准(2.0)规定了相应的安全要求。
这些安全要求涵盖了物理安全、网络安全、用户权限管理、数据保护等多个方面。
2.3 审计和评估等级保护新标准(2.0)要求对信息系统进行定期审计和评估,以确保其符合标准要求。
评估内容包括信息系统设计、安全措施执行情况及风险评估等。
3. 实施过程为了更好地执行等级保护新标准(2.0),以下是实施过程的详细步骤:3.1 确定信息系统等级根据信息系统的重要程度和风险级别,确定其所属的等级。
3.2 分析安全要求针对所确定的等级,分析对应的安全要求,了解需要采取哪些安全措施。
3.3 设计安全策略根据分析结果,制定详细的安全策略,包括物理安全、网络安全、用户权限管理等方面的措施。
3.4 实施安全措施按照设计的安全策略,逐步实施各项安全措施。
3.5 审计和评估定期对信息系统进行审计和评估,确保其符合标准要求。
4. 附件所涉及的附件如下:- 附件1:等级保护新标准(2.0)相关表格和模板- 附件2:等级保护新标准(2.0)实施指南5. 法律名词及注释所涉及的法律名词及注释如下:- 法律名词1:注释说明1- 法律名词2:注释说明2- 法律名词3:注释说明36. 可能遇到的困难及解决办法在实际执行过程中,可能会遇到以下困难:6.1 资源限制由于资源有限,可能无法同时满足所有等级的安全要求。
等级保护新标准(2.0)介绍
等级保护新标准(2.0)介绍等级保护新标准(2.0)介绍1. 引言本文档旨在介绍等级保护新标准(2.0),该标准作为一个全面的等级保护框架,可以匡助组织在处理敏感信息时确保一定的安全水平。
该标准包含了涉及的流程、要求和最佳实践,以及可能遇到的艰难和解决办法。
2. 背景随着信息技术的迅速发展,组织面临越来越多的信息安全挑战。
等级保护新标准(2.0)旨在提供一套统一、综合的信息安全等级管理方法,匡助组织达到保护敏感信息的最低安全要求。
3. 等级保护新标准(2.0)的主要内容3.1 标准的合用范围3.2 定义和术语3.3 等级保护框架3.3.1 等级保护目标3.3.2 等级保护要求3.3.3 等级保护控制措施3.3.4 等级保护评估3.3.5 等级保护认证3.3.6 等级保护追溯3.4 实施指南3.4.1 等级保护框架应用步骤 3.4.2 等级保护控制选择3.4.3 等级保护评估方法3.5 监管要求3.5.1 政府监管机构要求3.5.2 安全认证/评估机构要求3.5.3 行业监管要求4. 附件本文档所涉及的附件如下:附件A:等级保护目标详细说明附件B:等级保护要求清单附件C:等级保护控制措施指南附件D:等级保护评估流程图附件E:等级保护认证申请模板5. 法律名词及注释本文档所涉及的法律名词及注释如下:1. 数据保护法:指对个人数据进行保护的法律法规。
2. 信息安全法:指规范信息安全管理和保护的法律法规。
3. 网络安全法:指规范网络安全管理和保护的法律法规。
6. 实施过程中可能遇到的艰难及解决办法6.1 艰难:组织对等级保护新标准(2.0)的理解有偏差,导致实施过程中存在分歧。
解决办法:通过开展培训和沟通,确保组织对标准要求有清晰的理解,并制定统一的实施计划和指导文件。
6.2 艰难:组织缺乏相关技术和经验,无法有效评估和管理等级保护控制措施的实施情况。
解决办法:寻求专业的安全认证/评估机构的支持,进行评估和建议,同时加强内部能力建设,提高组织在信息安全管理方面的能力。
(最新整理)等级保护新标准(2.0)介绍
1.0 要 求
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严 重损害,或者对国家安全造成损害。
定级一般流程;
2.0 要 求
第三级,等级保护对象受到破坏后,会对公民、法人和其他 组织的合法权益产生特别严重损害,或者对社会秩序和公共 利益造成严重损害,或者对国家安全造成损害;
更名为“定级方法流程”。
等级保护2.0定级要求解析
定级要求
新增定级流程
定级对象
② 新增“定级流程”
包括基础信息网络、工业控制系统、云计算平台、物联网、其他信息系统 、大数据等。
包括确定受侵害的客体、侵害对客体的侵害程度以及综合判定侵害程度。
定级对象的运营、使用单位应组织信息安全专家和业务专家,对初步定级 结果的合理性进行评审,出具专家评审意见。
定级要求
新增定级流程
定级对象
① 定级要求
重新对部分内容的顺序作了调整,从整体显得更加的合理。
增加了新的内容和流程,例如扩展了定级的对象,包括基础信息网络、工业控制系统、云计算平台、物联网、其他信息系统、 大数据等;新增加的流程为“定级工作一般流程”,并对旧版本“定级一般流程”更名为“定级方要由生产管理层、现场设备 层、现场控制层和过程监控层构成,其中: 生产管理层的定级对象确定原则见(其他信 息系统)。设备层、现场控制层和过程监控 层应作为一个整体对象定级,各层次要素不 单独定级。 对于大型工业控制系统,可以根据系统功能 、控制对象和生产厂商等因素划分为多个定 级对象。
定级对象的运营、使用单位应将初步定级结果上报行业主管部门或上级主 管部门进行审核。
定级对象的运营、使用单位应按照相关管理规定,将初步定级结果提交公 安机关进行备案审查,审查不通过,其运营使用单位应组织重新定级;审 查通过后最终确定定级对象的安全保护等级。
等级保护新标准(2.0)介绍
等级保护新标准(2.0)介绍等级保护新标准(2.0)介绍1. 引言旨在介绍等级保护新标准(2.0)的内容及执行方法,以提供相关参考和指导。
该标准是为了保护敏感信息的安全性和机密性,确保信息的合规性和可靠性而制定的。
2. 标准概述等级保护新标准(2.0)涵盖了以下主要内容:2.1 安全等级划分2.2 等级保护措施2.3 安全评估和认证3. 安全等级划分3.1 等保1级3.2 等保2级3.3 等保3级3.4 等保4级4. 等级保护措施4.1 安全管理措施4.2 安全技术措施4.3 安全测试和应急响应5. 安全评估和认证5.1 评估要求和流程5.2 评估报告和认证证书6. 附件所涉及的附件如下:6.1 附件1:等保1级具体要求6.2 附件2:等保2级具体要求6.3 附件3:等保3级具体要求6.4 附件4:等保4级具体要求6.5 附件5:评估报告模板6.6 附件6:认证证书样例7. 法律名词及注释所涉及的法律名词及注释如下:7.1 信息安全法7.2 数据保护法7.3 电子商务法8. 可能遇到的困难及解决办法在实际执行过程中,可能会遇到以下困难:8.1 人员培训和落实难题解决办法:加强培训力度,制定明确的培训计划和考核机制。
8.2 技术更新和改进难题解决办法:定期进行技术检查,及时介入更新和改进工作。
8.3 安全漏洞和攻击风险解决办法:加强安全监控和漏洞修补,及时应对安全风险。
以上即为等级保护新标准(2.0)的详细介绍。
如需更多详细信息,请参阅相关附件以及法律名词及注释部分。
在执行过程中若遇到任何困难,请参考困难及解决办法章节进行解决。
附件:1. 附件1:等保1级具体要求2. 附件2:等保2级具体要求3. 附件3:等保3级具体要求4. 附件4:等保4级具体要求5. 附件5:评估报告模板6. 附件6:认证证书样例法律名词及注释:1. 信息安全法:指《中华人民共和国网络安全法》。
2. 数据保护法:指《中华人民共和国个人信息保护法》。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
等级保护2.0标准体系
等保1.0 等保2.0
GB 17859-1999 《计算机信息系统安全保护等
级划分准则》
《《《《《《
信 息 系 统 安 全 等 级 保 护 定 级 指 南 》
信 息 系 统 安 全 等 级 保 护 基 本 要 求 》
信 息 系 统 安 全 等 级 保 护 实 施 指 南 》
信 息 系 统 等 级 保 护 安 全 设 计 技 术 要 求
等级保护新标准(2.0)介绍
1
等级保护发展历程与展望
2
等级保护2.0标准体系
3
等级保护2.0基本要求解析
4
等级保护2.0扩展要求解析
等级保护发展历程与展望
等保1.0 等保2.0
时代
工作
展望
19942003 政策环境 2004- 营造 2006 工作开展 准备 20072010 工作正式 2010- 启动 2016 工作规模 推进
信 息 系 统 安 全 等 级 保 护 测 评 要 求 》
信 息 系 统 安 全 等 级 保 护 测 评 过 程 指 南
》
》
等级保护2.0标准体系
等保1.0 等保2.0
正式更名 为网络安 全等级保 护标准;
横向扩展 了对云计 算、移动 互联网、 物联网、 工业控制 系统的安 全要求;
纵向扩展 了对等保 测评机构 的规范管 理。
等级保护发展历程与展望
等保1.0 等保2.0
时代
工作
展望
等级保护2.0时代,将根据信息技术发展应用和网络安全态
势,不断丰富制度内涵、拓展保护范围、完善监管措施,逐步
健全网络安全等级保护制度政策、标准和支撑体系。
等级保护上升为法律
等级保护对象将不断拓展
《中华人民共和国网络安全法》第21条 规定“国家实行网络安全等级保护制度”, 要求“网络运营者应当按照网络安全等级保 护制度要求,履行安全保护义务”;第31条 规定“对于国家关键信息基础设施,在网络 安全等级保护制度的基础上,实行重点保 护”。
• 2013年,全国信息安全标准化技术委员会授权WG5-信息安全评估工作 组开始启动等级保护新标准的研究。
• 2017年1月至2月,全国信息安全标准化技术委员会发布《 网络安全等 级保护基本要求》系列标准、《 网络安全等级保护测评要求 》系列标准 等“征求意见稿”。
• 2017年5月,国家公安部发布《GA/T 1389—2017 网络安全等级保护 定级指南》、《GA/T 1390.2—2017 网络安全等级保护基本要求 第 2 部分:云计算安全扩展要求》等4个公共安全行业等级保护标准。
(注:基于 2017 年 等 级 保护标准系 列征求意见 稿)
未变 化 修订 内容
等级保护2.0标准体系
等保1.0 等保2.0
公安部已于2017年5月率先发布《网络安全等级保护定级指南》、《网络安全等级
保护基本要求 第5部分:工业控制系统安全扩展要求》等4个行业标准。
GA/T 1389—2017《信息安全技术 网络安全等 级保护定级指南》 在国标《信息安全等级保护定级指南》的基础上细化优化了对客体侵害事项、侵害程度的定义, 确定了对基础信息网络、工业控制系统 、云计算平台 、物联网、采用移动互联技术的信息系统 、 大数据等对象的定级原则,进一步明确了定级过程中专家审查、主管部门审核、公安机关备案审查 等节点的管理要求。
• 2016年11月7日,《中华人民共和国网络安全法》正式颁布,第二十一 条明确“国家实行网络安全等级保护制度……”
• 以《GB17859 计算机信息系统安全保护等级划分准则 》、 《GB/T22239-2008 信息安全技术 信息系统安全等级保护基本要求 》 为代表的等级保护系列配套标准,习惯称为等保1.0标准。
• 2010年12月,公安部和国务院国有资产监督管理委员会联合出台《关于 进一步推进中央企业信息安全等级保护工作的通知》,要求中央企业贯 彻执行等级保护工作。
等级保护发展历程与展望
等保1.0 等保2.0
时代
工作
展望
重要标志
2.0系列 标准编 制工作
• 2016年10月10日,第五届全国信息安全等级保护技术大召开,公安部 网络安全保卫局郭启全总工指出“国家对网络安全等级保护制度提出了 新的要求,等级保护制度已进入2.0时代”。
• 2007年6月,四部门联合出台《信息安全等级保护管理办法》。 • 2007年7月,四部门联合颁布《关于开展全国重要信息系统安全等级保
护定级工作的通知》。 • 2007年7月20日,召开全国重要信息系统安全等级保护定级工作部署专
题电视电话会议,标志着信息安全等级保护制度正式开始实施。
• 2010年4月,公安部出台《关于推动信息安全等级保护测评体系建设和 开展等级测评工作的通知》,提出等级保护工作的阶段性目标。
随着云计算、移动互联、大数据、物联 网、人工智能等新技术不断涌现,计算机 信息系统的概念已经不能涵盖全部,特别 是互联网快速发展带来大数据价值的凸显, 等保保护对象的外延将不断拓展。
等级保护工作内容将持续扩展等级保护体系将进行重大升级
在定级、备案、建设整改、等级测评和 监督检查等规定动作基础上,2.0时代风险 评估、安全监测、通报预警、案事件调查、 数据防护、灾难备份、应急处置、自主可控、 供应链安全、效果评价、综治考核等这些与 网络安全密切相关的措施都将全部纳入等级 保护制度并加以实施。
பைடு நூலகம்
• 1994年,国务院颁布《中华人民共和国计算机信息系统安全保护条例》, 规定计算机信息系统实行安全等级保护。
• 2003年,中央办公厅、国务院办公厅颁发《国家信息化领导小组关于加 强信息安全保障工作的意见》(中办发[2003]27号)明确指出“实行信 息安全等级保护”。
• 2004-2006年,公安部联合四部委开展涉及65117家单位,共115319个 信息系统的等级保护基础调查和等级保护试点工作,为全面开展等级保 护工作奠定基础。
2.0时代,主管部门将继续制定出台一 系列政策法规和技术标准,形成运转顺畅 的工作机制,在现有体系基础上,建立完 善等级保护政策体系、标准体系、测评体 系、技术体系、服务体系、关键技术研究 体系、教育训练体系等。
1
等级保护发展历程与展望
2
等级保护2.0标准体系
3
等级保护2.0基本要求解析
4
等级保护2.0扩展要求解析