精选-信息安全-等级保护2.0政策解读
等保2.0新标准解读
等保2.0新标准解读5月13日下午,国家标准新闻发布会在市场监管总局马甸办公区新闻发布厅召开,网络安全等级保护制度2.0标准正式发布,包括网络安全等级保护的基本要求、测评要求、安全设计技术要求三个部分,实施时间为2019年12月1日。
《网络安全法》出台后,等级保护进入2.0时代,这意味着2007年四部门建立的“信息安全等级保护体系”已全面升级到“网络安全等级保护2.0体系”。
网络安全等级保护是国家网络安全保障的基本制度、基本策略、基本方法。
开展网络安全等级保护工作是保护信息化发展、维护网络安全的根本保障,是网络安全保障工作中国家意志的提现。
网络安全等级保护虽然依旧按照定级、备案、建设整改、等级测评、监督检查等五个阶段进行,同时,等级保护的“五个等级”及“主体职责”没有变化。
但是,等保2.0已经从法规条例“国务院147号令”上升到《网络安全法》的法律层面;《网络安全法》第二十一条要求,国家实施网络安全等级保护制度;第二十五条要求,网络运营者应当制定网络安全事件应急预案;第三十一条则要求,关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护;第五十九条明确了,网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门给予处罚。
总而言之,等保2.0实施后,不开展等级保护等于违反《网络安全法》,可以根据法律规定进行处罚。
传统等级保护(暂时叫等保1.0)主要强调物理安全、主机安全、网络安全、应用安全、数据安全及备份恢复等通用要求,而等保2.0标准在对等保1.0标准基本要求进行优化的同时,针对云计算、物联网、移动互联网、工业控制、大数据新技术提出了新的安全扩展要求。
也就是说,使用新技术的信息系统需要同时满足“通用要求安全扩展”的要求。
并且,针对新的安全形势提出了新的安全要求,标准覆盖度更加全面,安全防护能力有很大提升。
通用要求方面,等保2.0标准的核心是“优化”。
删除了过时的测评项,对测评项进行合理性改写,新增对新型网络攻击行为防护和个人信息保护等新要求,调整了标准结构、将安全管理中心从管理层面提升至技术层面。
等保2.0主要标准-解释说明
等保2.0主要标准-概述说明以及解释1.引言1.1 概述概述随着信息技术的不断发展和日益普及,网络空间安全问题已经成为了一个全球性难题。
为了提高国家网络安全水平,我国推出了一系列的信息安全等级保护(等保)标准。
等保标准旨在规范和指导各类网络系统、设备和服务的安全建设与管理,以保护国家的核心信息基础设施和重要信息资源的安全。
在等保标准的演进过程中,等保2.0标准应运而生。
等保2.0标准是在等保1.0标准的基础上进一步完善和提升的,以适应网络安全形势的发展和应对新的威胁挑战。
本文将从等保2.0标准的角度,对其主要内容、应用与实施以及重要性进行深入探讨。
另外,还将对等保2.0标准存在的局限性进行分析,并展望其未来的发展方向。
通过阅读本文,读者可对等保2.0标准有一个全面的了解,从而更好地理解和应用这一标准,提升网络安全保障水平,推动我国网络安全事业的健康发展。
1.2 文章结构文章结构部分的内容可以包括以下几个方面:首先,简要介绍本文的组织结构。
本文主要分为三个部分,分别是引言、正文和结论。
每个部分都涵盖了等保2.0主要标准相关的内容,通过逐步展开的方式,从整体和细节两个层面深入探讨等保2.0主要标准的方方面面。
其次,详细说明引言部分的内容。
引言部分将提供该篇文章的背景信息以及对等保2.0主要标准的整体概述。
包括等保2.0标准的定义、由来和发展背景等内容,以便读者能够对本文所述的主题有一个基本的了解。
接着,阐述正文部分的内容和结构。
正文部分是本文的核心,将对等保2.0主要标准进行详细介绍。
主要分为两个子节:等保2.0标准的介绍和等保2.0标准的主要内容。
等保2.0标准的介绍将给出更具体的详细信息,包括标准的制定机构、标准的适用范围和目标等。
而等保2.0标准的主要内容将对标准的具体要求和指导进行详细解读,包括网络安全风险评估与等级划分、网络安全保护等级与技术要求等方面。
最后,简要说明结论部分的内容和意义。
等保2.0标准体系详细解读-培训课件
行为;新增实现对网络攻击特别是新型网络攻击行为的分析 恶意代码和垃圾邮件防范:新增垃圾邮件防护 安全审计:新增对远程访问的用户行为、访问互联网的用户行为等单独进行行为
资源控制
7
数据完整性
2
数据安全及 备份恢复
数据保密性
2
备份和恢复
4
安全计算环境
控制点
要求项
身份鉴别
4
访问控制
7
安全审计
4
入侵防范
6
恶意代码防范
1
可信验证
1数据Biblioteka 整性2数据保密性2
数据备份恢复
3
剩余信息保护
2
个人信息保护
2
合计
34
变化列举
身份鉴别:加强用户身份鉴别,采用两种或两种以上鉴别方式,且其中 一种鉴别技术至少应使用密码技术来实现
安全审计 数据完整性 个人信息保护
入侵防范 数据保密性
安全区域边界
边界防护
访问控制
恶意代码和垃圾邮件防范
入侵防范 安全审计
可信验证
安全通信网络 网络架构
通信传输
可信验证
安全物理环境
物理位置选择 防雷击
温湿度控制
物理访问控制 防火
电力供应
防盗窃和防破坏
防水和防潮
防静电
电磁防护
通用要求-安全管理要求的变化
信息安全保障纲领 性文件,明确指出 “实行信息安全等 级保护“主要任务
进一步明确了信息 安全等级保护制度 的职责分工和工作 的要求等基本内容
明确了信息安全等 级保护的五个动作, 为开展等级保护工 作提供了规范保障
等级保护2.0标准解读
等级保护2.0标准解读随着互联网技术的不断发展,人们对于个人信息保护的关注程度逐渐提升。
为此,我国相继出台了多项保护个人信息的法规和标准。
其中,等级保护2.0标准是其中重要的一项。
一、等级保护2.0标准的背景等级保护2.0标准是我国信息安全领域的一项重要标准,它的出台主要是针对当前信息环境下的数据泄露、跨界收集等问题,以及对于个人敏感信息保护的需要。
本标准对于政府、企业和个人都有一定的指导意义,是希望通过技术和管理手段来维护信息安全和保护用户个人信息。
二、等级保护2.0标准的主要内容1.等级分类等级保护2.0标准将信息系统按照不同的等级分类,具体分为四个等级。
通过等级分类,可以让用户直观地了解自己的信息系统安全等级,从而更好地保障个人信息的安全。
2.安全控制要求不同等级的信息系统,其保护措施的要求也不同。
等级保护2.0标准中详细列出了四个等级的信息系统所需要的安全控制要求,包括安全管理、物理安全、网络安全、数据安全、应用安全等方面。
其中每一个安全控制要求都有详细的说明和操作指南。
3.风险评估根据等级保护2.0标准,用户需要对自己所属的信息系统进行风险评估,并根据评估结果来采取相应的安全保护措施。
这个过程需要基于实际情况,适当评估信息系统的风险程度,以便在安全措施上精准地投入精力。
4.日志管理等级保护2.0标准要求对于信息系统的运行情况进行日志管理,以便及时发现异常情况并采取相应的措施。
同时,对于重要信息系统,需要开展安全监视和重要事件和安全事件的应急响应工作。
三、等级保护2.0标准实施的意义等级保护2.0标准的出台,对于保护个人信心和保障信息安全具有重要的意义。
它能够有效地帮助用户改善信息安全,保护个人信息的私密性和完整性。
同时,对于企业和政府也具有重要的指导意义,可以指导其科学地进行信息系统的规划和设计,保障信息安全。
四、等级保护2.0标准在实践中的运用等级保护2.0标准已经在我国得到广泛的应用,是保障信息安全方面的重要举措。
等级保护2.0标准解读
等级保护2.0标准解读引言等级保护是指对信息系统根据其重要程度和承载的信息类型进行分类,并根据其分类确定相应的技术和管理措施,以达到保护信息系统安全的目的。
等级保护2.0标准(以下简称标准)是中国国家信息安全等级保护测评中心(以下简称测评中心)发布的信息安全评价标准,通过对信息系统进行评估,为政府和企事业单位提供安全等级保护的指导和借鉴。
标准内容等级划分标准对信息系统安全分为5个等级,分别为A、B、C、D和E等级,等级越高,要求越严格。
根据应用场景和信息系统的特点,使用方可根据需要选择相应的等级进行评估和保护。
技术要求标准对于不同等级的信息系统,提出了相应的技术要求。
技术要求包括网络安全、系统安全、数据安全等方面的要求,并且对不同等级的信息系统要求不同。
例如,在网络安全方面,标准要求高等级信息系统采用多层次防护措施,包括网络入侵检测系统、防火墙、流量监测等;而低等级信息系统则要求基本的网络防护措施,如杀毒软件、防火墙等。
管理要求标准对等级保护的管理要求进行了明确。
管理要求包括安全管理组织、安全策略和规范、安全培训和意识教育等方面的要求。
管理要求的关键在于对等级保护的全生命周期和全链条进行管理,确保信息系统的安全保护工作得到有效的执行。
测评规程标准对信息系统的测评规程进行了详细描述。
测评规程包括等级划分、测评方案、测评方法、测评程序等方面的内容,确保测评工作的规范和有效性。
测评结果被用于评估信息系统的安全等级,并为信息系统提供相应的加固和改进建议。
使用指南标准的使用指南主要包括等级划分、技术要求、管理要求和测评规程的解读和应用。
使用方可根据自身信息系统的特点和需要,按照标准的要求进行评估和保护工作。
标准还提供了一些实施细则和指导,为使用方提供了实际操作的参考。
等级保护2.0标准是一项重要的信息安全评价标准,通过对信息系统的评估和保护,可以有效提高信息系统的安全性和可靠性。
标准的发布为政府和企事业单位提供了参考和指导,帮助其建立健全的信息安全管理体系,保护重要信息资产的安全。
等保2.0政策规范解读(63页 PPT )
d) 应限制无线网络的使用,确保无线网络通过受控的边界防护设备 接入内部网络。
入侵防范
b) 应在关键网络节点处检测、防止或限制从内部发起的网络攻击行 为; (新增)
设计要求
测评要求
通用要求
云计算
物联网
移动互联
工业控制
7
。 share
等保2.0标准解读
勇 share
等级保护1.0和2.0对比
旧标准(等级保护1.0)
技术要求
物理安全 网络安全 主机安全 应用安全
管理要求
数据安全及备份恢复 安全管理制度 安全管理机构 人员安全管理 系统建设管理 系统运维管理
9
新标准(等级保护2.0)
无 入侵防范
无
a) 应采用校验码技术或密码技术保证通信过程中数据的完整性;
通信传输 b) 应采用密码技术保证通信过程中敏感信息字段或整个报文的保密 性。
a) 应保证跨越边界的访问和数据流通过边界防护设备提供的受控接 口进行通信;
边界防护
b) 应能够对非授权设备私自联到内部网络的行为进行限制或检 查;
3
4
6 防水和防潮
3
2
7 防静电
2
1
8 温湿度控制
1
4
9 电力供应
3
3
10 电磁防护
2
。 share
物理位置的选择
原控制项
新控制项
b)机房场地应避免设在建筑物的高层或 地下室,以及用水设备的下层或隔壁。 物理位置的选择
b)机房场地应避免设在建筑物的顶层或地下室, 否则应加强防水和防潮措施
防静电
无
等级保护2.0标准解读
等级保护2.0标准解读等级保护2.0标准解读1. 简介等级保护2.0标准(以下简称DP-2.0)是指文档等级保护的新一代标准。
该标准在信息安全领域有着重要的作用,对于保护敏感信息、提高数据安全性具有重要意义。
本文将对DP-2.0标准进行详细解读。
2. DP-2.0标准的背景随着信息技术的不断发展和广泛应用,数据安全问题也日益突出。
为了保护信息安全,各类组织纷纷提出了不同的标准和措施。
DP-2.0标准作为新一代的等级保护标准,在防范各类信息安全威胁方面有着显著的优势。
3. DP-2.0标准的核心内容DP-2.0标准包括以下核心内容:3.1 安全等级划分DP-2.0标准将信息系统按照安全等级进行划分,分为一级、二级、三级三个等级。
不同等级对应不同的安全需求和保护措施,以确保数据的安全性。
3.2 关键要素保护DP-2.0标准明确了关键要素的保护要求,包括对密码、身份认证、访问控制等方面的保护措施,以防止关键要素的泄露和滥用。
3.3 安全审计与监控DP-2.0标准要求建立完善的安全审计与监控机制,及时发现和应对安全事件,保障信息系统的日常运行安全。
3.4 安全培训与管理DP-2.0标准强调安全培训与管理的重要性,要求定期进行安全培训,加强员工对信息安全的意识,提高整体的安全防护能力。
4. DP-2.0标准的应用DP-2.0标准适用于各类组织的信息系统,包括企事业单位、政府机关等。
通过遵循DP-2.0标准,组织可以更加全面地保护敏感信息,提高数据安全性,有效应对信息安全威胁。
5. DP-2.0标准的优势相较于以往的等级保护标准,DP-2.0标准具有以下优势:- 标准要求更加明确,有利于各类组织的实施和操作。
- 标准细化了关键要素的保护要求,对信息系统的安全性提出了更高的要求。
- 标准强调安全培训与管理的重要性,提高了组织的整体安全水平。
6. 结论DP-2.0标准作为新一代的等级保护标准,具有重要的意义。
通过遵循DP-2.0标准,组织可以更好地保护敏感信息,提高数据安全性,并有效地应对信息安全威胁。
等保2.0基本要求
等保2.0基本要求标题:等保2.0基本要求及其重要性随着信息化的快速发展,网络安全已经成为国家和社会关注的重要问题。
在此背景下,中国制定了等保2.0基本要求,以期提高我国的信息安全防护水平。
本文将详细介绍等保2.0的基本要求,并阐述其重要性。
一、等保2.0基本要求概述等保2.0是《信息安全等级保护基本要求》的简称,是我国在信息安全管理领域的一项重要政策。
等保2.0于2019年正式发布并实施,是对原有等保1.0的一次全面升级和改革。
等保2.0从原来的五个级别扩展到三个级别,即基础级、增强级和高级,每个级别都有相应的技术要求和管理要求。
二、等保2.0基本要求的具体内容1. 技术要求:主要包括物理环境安全、网络和通信安全、设备和计算安全、应用和数据安全等方面。
这些技术要求旨在保证信息系统的稳定运行和数据的安全存储。
2. 管理要求:主要包括安全策略和制度、人员安全管理、资产管理、安全运维管理和应急响应等方面。
这些管理要求旨在规范信息系统的日常管理和维护,防止人为因素导致的信息安全事件。
三、等保2.0的重要性等保2.0的实施对于提升我国的信息安全防护能力具有重要意义。
首先,等保2.0能够指导各组织机构进行信息系统建设,确保信息系统的安全性、稳定性。
其次,等保2.0能够提高公众对信息安全的认识,推动全社会形成良好的信息安全氛围。
最后,等保2.0也体现了我国对国际信息安全标准的接轨,有助于提升我国在国际信息安全领域的影响力。
四、结论综上所述,等保2.0基本要求是我国信息安全工作的重要指南。
只有严格按照等保2.0的要求进行信息系统建设和维护,才能有效保障我国的信息安全。
因此,我们需要进一步加强等保2.0的宣传和培训,让更多的人了解和掌握等保2.0的基本要求,共同构建一个安全、可靠的信息环境。
以上只是对等保2.0基本要求的简单介绍,实际上,等保2.0的内容非常丰富,涵盖了信息安全的各个方面。
希望这篇文章能帮助大家对等保2.0有一个初步的了解,如果想要深入了解等保2.0,还需要阅读相关的法规和标准,以及参加专业的培训。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
等保定级
依据国家等级保护制度监管的十六字方案要求:自主定级、专家 评审、主管部门审批和公安机关监督,补充和完善后的定级流程 为:1、确定定级对象;2、初步确定等级;3、专家评审;4、主 管部门审核;5、公安机关备案审查
网络安全法的立法宗旨是为了保障网络安全、维护网络空间主权 和国家安全、社会公共利益、保护公民,法人和其他组织的合法 权益。因此修订后的定级指南,三级定义为:“等级保护对象受 到破坏后,会对公民、法人和其他组织的合法权益产生特别严重 损害,或者对社会秩序和公共利益造成严重损害,或者对国家安 全造成损害”
国家安全
第二级 第三级
第二级 第三级 第四级
第三级 第四级 第五级
等保1.0 五个规定动作
定级 备案 建设整改 等保测评 监督检查
等级保护内容
等保2.0内容
等级保护对象定级与备案
协助定级 评审
协助备案
总体安全规划
需求分析 总体设计 建设方案规划
局部调整
安全设计与实施
整体实施方案设计 H3C安全产品全覆盖 等保技术实现 等保管理实现
管理类 信息系统安全管理要求 信息系统安全工程管理要求
其他管理类标准
产品类 操作系统安全技术要求 数据库管理系统安全技术要求 网络和终端设备隔离部件技术要求
其他产品类标准
计算机信息系统安全保护等级划分准则(GB17859)
网络 安全 等级 保护
2.0 系列 标准
《网络安全等级保护定级指南》
《网络安全等级保护实施指南》
基线要求
信息系统安全等级保护基本要求的行业细则
信息系统安全等级保护基本要求(GB/T 22239-2008)
GBT 25070-2010
指保安信 南护全息
实等系 施级统
技安等信 术全级息 要设保系 求计护统
GBT 25058-2010
技术类 信息系统通用安全技术要求 信息系统物理安全技术要求
网络基础安全技术要求 其他技术类标准
理中心
备份与恢 复管理
外包软 件开发
云服 务商 选择
网络 安全 管理
安全 事件 处置
外部 人员 访问 管理
工程 实施
供应 链管 理
系统 安全 管理
应急 预案 管理
管理 要求
通过 制度 建设 与技 术辅 助方 式实 现
技术和管理要求扩展
技术要求
物理安全 网络安全 主机安全 应用安全 数据安全
管理要求
岗
人
位
员
授权和
沟通和
审核和
设
配
审批
合作
检查
置
备
人
人
人
员
员
员
录
离
考
用
岗
核
安全意 识教育 和培训
系统 定级
安全 方案 设计
产品采购 和使用
测试 验收
系统 交付
系统 备案
等级 测评
环境 管理
资产 管理
介质 管理
设备 管理
恶意代
码防范 管理
密码 管理
变更 管理
自行软 件开发
安全服 务商选
择
监控管理 和安全管
等级保护1.0标准体系
信息系统安全等级保护定级指南(GB/T 22240-2008)
信息系统安全等级保护行业定级细则
GB/T 28448-2012
安全等级
过保安信 要保安信
程护全息 指测等系 南评级统
求护全息 测等系 评级统
状况
信息系统安全等级
方法
分析
保护建设整改
指导
GB/T 28449-2012
网站类 平台类
生产业务类
认定标准
网络安全事件潜在影响
1)县级(含)以上党政机关网站。 2)重点新闻网站。 3)日均访问量超过100万人次的网站。 4)一旦发生网络安全事故,可能造成右边列影 响 之一的。 5)其他应该认定为关键信息基础设施。
1) 影响超过100万人工作、生活; 2) 影响单个地市级行政区30%以上人口的工作、生活; 3) 造成 超过100万人个人信息泄露; 4) 造成大量机构、企业敏感信息泄露; 5) 造成大量地理、人口、资源等国家基础数据泄露; 6) 严重损 害政府形象、社会秩序,或危害国家安全。
《网络安全等级保护设计技术要求第1部分:安全通用要求》 《网络安全等级保护设计技术要求第2部分:云计算安全扩展要求》 《网络安全等级保护设计技术要求第3部分:移动互联安全扩展要求》 《网络安全等级保护设计技术要求第4部分:物联网安全扩展要求》 《网络安全等级保护设计技术要求第5部分:工业控制系统安全扩展要求》 《网络安全等级保护设计技术要求第6部分:大数据安全扩展要求》
1)地市级以上政府机关面向公众服务的业务系统, 或与医疗、安防、消防、应急指挥、 生产调度、交 通指挥等相关的城市管理系统。 2)规模超过1500个标准机架的数据中心。 3)一旦发生网络安全事故,可能造成右边列影响 之一的。 4)其他应该认定为关键信息基础设施。
1) 影响单个地市级行政区30%以上人口的工作、生活; 2) 影响10万人用水、用电、用气、用油、取暖或交通出行等; 3) 导致5人以上死亡或50人以上重伤; 4) 直接造成5000万元以上经济损失; 5) 造成超过100万人个人信息泄露; 6) 造成大量机构、企业敏感信息泄露; 7) 造成大量地理、人口、资源等国家基础数据泄露; 8) 严重损害社会和经济秩序,或危害国家安全。
信息安全
网络安全
等级保护1.0
等级保护2.0
网络安全法与等级保护
第三十一条 国家公共通信和信息服务、能源、交通、 水利、金融、公共服务、电子政务等重要 行业和领域,以及 一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家 安全、国计民生、 公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。 国家互联网信息办公室《关键信息基础设施安全保护条例(征求意见稿)》已发布: ➢ 地市级以上人民政府应当将关键信息基础设施安全保护工作纳入地区经济社会发展总体规划,
01 等保1.0与2.0对比 02 云等保标准解读 03 等保项目运作 04 传统等保我们怎么做 05 云等保我们怎么做 06 等保实践
等保1.0与2.0对比
网络安全法与等级保护
第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安 全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改: (一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任; (二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施; (三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月; (四)采取数据分类、重要数据备份和加密等措施; (五)法律、行政法规规定的其他义务。
《网络安全等级保护测评要求第1部分:安全通用要求》 《网络安全等级保护测评要求第2部分:云计算安全扩展要求》 《网络安全等级保护测评要求第3部分:移动互联安全扩展要求》 《网络安全等级保护测评要求第4部分:物联网安全扩展要求》 《网络安全等级保护测评要求第5部分:工业控制系统安全扩展要求》 《网络安全等级保护测评要求第6部分:大数据安全扩展要求》
等级保护定级
等保定级
定级流程,GB/T22240-2008定级指南聚焦于如何从业务信息和 系统服务两个角度分析和确定定级对象的安全保护级别,并未完 整描述整个定级工作过程,在实际工作中可能导致备案单位缺漏 部分环节,影响定级结果的准确性
GB/T22240-2008定级指南中,将安全保护等级三级定义为:等 级保护对象受到破坏后,对社会秩序和公共利益造成严重损害, 或者对国家安全造成损害。因此,那些未对国家安全造成损害或 社会秩序和公共利益造成严重损害,但对法人或组织造成特别严 重损害的等级保护对象(如全国性集团公司的资金集中管理系统 ,大型互联网信息平台的统一运维管理系统等)将被确定为二级
安全管理制度 安全管理机构 人员安全管理 系统建设管理 系统运维管理
技术要求
物理和环境安全 网络和通信安全 设备和计算安全 应用和数据安全
管理要求
安全管理策略和制度 安全管理机构和人员 系统安全建设管理 系统安全运维管理
执行力度加强
执行力度
1994年国务院《中华人民共和国计算机信 息系统安全保护条例》 关于信息安全等级保护工作的实施意见 (公通字[2004]66号) 信息安全等级保护管理办法(公通字 [2007]43号)
《网络安全等级保护基本要求第1部分:安全通用要求》 《网络安全等级保护基本要求第2部分:云计算安全扩展要求》 《网络安全等级保护基本要求第3部分:移动互联安全扩展要求》 《网络安全等级保护基本要求第4部分:物联网安全扩展要求》 《网络安全等级保护基本要求第5部分:工业控制系统安全扩展要求》 《网络安全等级保护基本要求第6部分:大数据安全扩展要求》
等保合规自评
安全运行与维护
运行管控 变更管控 状态监控 服务商管控 等级测评 检查改进
信息安全等级保护制度由公安部主导,自 主建设为主,执行力度不够
执行力度
《中华人民共和国网络安全法》 第二十一条 国家实行网络安全等级保护 制度
网络领域的基础性法律,并在法律层面确 立了等级保护在网络安全领域的基础、核 心地位,不做等保就是违法
等级保护对象
等保对象
2003年,中办国办《国家信息化领导小组关于加强 信息安全保障工作的意见》指出,要重点保护基础 信息网络和关系国家安全、经济命脉、社会稳定等 方面的重要信息系统 这个定义就是网络安全法中的关键信息基础设施, 从1.0到2.0等保核心依然没有改变
等级保护定级
对客体的侵害程度