最新等保2.0-外网网站信息系统日志管理规定

等保2.0新标准解读5月13日下午，国家标准新闻发布会在市场监管总局马甸办公区新闻发布厅召开，网络安全等级保护制度2.0标准正式发布，包括网络安全等级保护的基本要求、测评要求、安全设计技术要求三个部分，实施时间为2019年12月1日。

《网络安全法》出台后，等级保护进入2.0时代，这意味着2007年四部门建立的“信息安全等级保护体系”已全面升级到“网络安全等级保护2.0体系”。

网络安全等级保护是国家网络安全保障的基本制度、基本策略、基本方法。

开展网络安全等级保护工作是保护信息化发展、维护网络安全的根本保障，是网络安全保障工作中国家意志的提现。

网络安全等级保护虽然依旧按照定级、备案、建设整改、等级测评、监督检查等五个阶段进行，同时，等级保护的“五个等级”及“主体职责”没有变化。

但是，等保2.0已经从法规条例“国务院147号令”上升到《网络安全法》的法律层面；《网络安全法》第二十一条要求，国家实施网络安全等级保护制度；第二十五条要求，网络运营者应当制定网络安全事件应急预案；第三十一条则要求，关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护；第五十九条明确了，网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的，由有关主管部门给予处罚。

总而言之，等保2.0实施后，不开展等级保护等于违反《网络安全法》，可以根据法律规定进行处罚。

传统等级保护（暂时叫等保1.0）主要强调物理安全、主机安全、网络安全、应用安全、数据安全及备份恢复等通用要求，而等保2.0标准在对等保1.0标准基本要求进行优化的同时，针对云计算、物联网、移动互联网、工业控制、大数据新技术提出了新的安全扩展要求。

也就是说，使用新技术的信息系统需要同时满足“通用要求安全扩展”的要求。

并且，针对新的安全形势提出了新的安全要求，标准覆盖度更加全面，安全防护能力有很大提升。

通用要求方面，等保2.0标准的核心是“优化”。

删除了过时的测评项，对测评项进行合理性改写，新增对新型网络攻击行为防护和个人信息保护等新要求，调整了标准结构、将安全管理中心从管理层面提升至技术层面。

计算机信息系统国际联网保密管理规定（1999年12月29日国家保密局发布）第一章总则第一条为了加强计算机信息系统国际联网的保密管理，确保国家秘密的安全，根据《中华人民共和国保守国家秘密法》和国家有关法规的规定，制定本规定。

第二条计算机信息系统国际联网，是指中华人民共和国境内的计算机信息系统为实现信息的国际交流，同外国的计算机信息网络相联接。

第三条凡进行国际联网的个人、法人和其他组织（以下统称用户），互联单位和接入单位，都应当遵守本规定。

第四条计算机信息系统国际联网的保密管理，实行控制源头、归口管理、分级负责、突出重点、有利发展的原则。

第五条国家保密工作部门主管全国计算机信息系统国际联网的保密工作。

县级以上地方各级保密工作部门，主管本行政区域内计算机信息系统国际联网的保密工作。

中央国家机关在其职权范围内，主管或指导本系统计算机信息系统国际联网的保密工作。

第二章保密制度第六条涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其它公共信息网络相联接，必须实行物理隔离。

第七条涉及国家秘密的信息，包括在对外交往与合作中经审查、批准与境外特定对象合法交换的国家秘密信息，不得在国际联网的计算机信息系统中存储、处理、传递。

第八条上网信息的保密管理坚持“谁上网谁负责”的原则。

凡向国际联网的站点提供或发布信息，必须经过保密审查批准。

保密审批实行部门管理，有关单位应当根据国家保密法规，建立健全上网信息保密审批领导责任制。

提供信息的单位应当按照一定的工作程序，健全信息保密审批制度。

第九条凡以提供网上信息服务为目的而采集的信息，除在其它新闻媒体上已公开发表的，组织者在上网发布前，应当征得提供信息单位的同意；凡对网上信息进行扩充或更新，应当认真执行信息保密审核制度。

第十条凡在网上开设电子公告系统、聊天室、网络新闻组的单位和用户，应由相应的保密工作机构审批，明确保密要求和责任。

任何单位和个人不得在电子公告系统、聊天室、网络新闻组上发布、谈论和传播国家秘密信息。

等保安全管理制度第一章总则第一条为了规范等保工作，强化信息安全意识，加强信息保护，确保信息系统安全运行，保护国家秘密和重要商业信息，维护社会秩序和公共利益，根据《网络安全法》等法律法规，结合本单位实际，制定本制度。

第二条本制度适用于本单位内外网信息系统的安全等级保护工作。

第三条本单位等保工作的指导思想是坚持保密与开放相结合、防范与治理相结合、技术与管理相结合、自律与监管相结合的原则。

第二章制度规定第四条信息系统等级划分管理（一）本单位将信息系统划分为不同的安全等级，并根据等级确定相应的保密要求和安全防护措施，确保信息系统的安全运行。

（二）按照国家规定的要求，制定信息系统的等级划分标准，并向相关部门备案。

（三）对信息系统的安全等级进行定期评估，并根据需要对系统等级进行调整。

第五条信息系统安全管理责任（一）本单位设立信息安全管理委员会，负责统筹本单位信息系统等级保护工作。

（二）各部门要设立信息安全管理岗位，明确工作职责，配备专门的信息安全管理人员。

（三）本单位要不定期组织信息安全培训，提高员工信息安全意识，加强保密管理。

第六条信息系统安全防护措施（一）本单位要建立健全安全防护体系，包括网络安全、数据安全、应用系统安全等方面。

（二）制定安全管理制度和技术规范，规范和约束各类信息系统的使用和管理。

（三）加强对信息系统的监测和检测，及时发现并处理安全威胁和漏洞。

第七条信息系统安全监测和应急响应（一）建立健全信息系统安全监测体系，及时响应异常事件并进行处理。

（二）建立应急响应流程，对发生的信息安全事件进行快速响应和处置。

（三）定期开展信息系统安全演练和演练活动，提高员工的应急响应能力。

第八条信息系统安全审计管理（一）定期组织信息系统安全审计工作，对系统的安全漏洞、漏洞利用、潜在威胁和风险进行评估。

（二）对安全审计结果进行分析和总结，及时进行整改和改进。

第九条信息系统保密管理（一）本单位将信息分为国家秘密和商业秘密两个等级，建立相关的保密管理制度。

信息安全等保三级（等保2.0）系统建设整体解决方案 2020年2月某单位信息安全等级保护（三级）建设方案目录第一章项目概述 (4)1.1项目概述 (4)1.2项目建设背景 (4)1.2.1法律要求 (5)1.2.2政策要求 (7)1.3项目建设目标及内容 (7)1.3.1项目建设目标 (7)1.3.2建设内容 (8)第二章现状与差距分析 (9)2.1现状概述 (9)2.1.1信息系统现状 (9)2.2现状与差距分析 (11)2.2.1物理安全现状与差距分析 (11)2.2.2网络安全现状与差距分析 (20)2.2.3主机安全现状与差距分析 (33)2.2.4应用安全现状与差距分析 (45)2.2.5数据安全现状与差距分析 (57)2.2.6安全管理现状与差距分析 (60)2.3综合整改建议 (66)2.3.1技术措施综合整改建议 (66)2.3.2安全管理综合整改建议 (82)第三章安全建设目标 (84)第四章安全整体规划 (86)4.1建设指导 (86)4.1.1指导原则 (86)4.1.2安全防护体系设计整体架构 (87)4.2安全技术规划 (89)4.2.1安全建设规划拓朴图 (89)4.2.2安全设备功能 (90)4.3建设目标规划 (96)第五章工程建设 (99)5.1工程一期建设 (99)5.1.1区域划分 (99)5.1.2网络环境改造 (100)5.1.3网络边界安全加固 (100)5.1.4网络及安全设备部署 (101)5.1.5安全管理体系建设服务 (136)5.1.6安全加固服务 (154)5.1.7应急预案和应急演练 (162)5.1.8安全等保认证协助服务 (162)5.2工程二期建设 (163)5.2.1安全运维管理平台（soc） (163)5.2.2APT高级威胁分析平台 (167)第六章方案预估效果 (169)6.1工程预期效果 (170)第一章项目概述1.1项目概述某单位是人民政府的职能部门，贯彻执行国家有关机关事务工作的方针政策，拟订省机关事务工作的政策、规划和规章制度并组织实施，负责省机关事务的管理、保障、服务工作。

信息化管理制度信息系统安全总体方
针
第一条单位要按照“谁主管谁负责，谁运行谁负责，谁使用谁负责”的原则，建立和完善信息安全管理制度，落实信息安全责任制，定期开展信息安全检查，发生信息安全事件要及时报告。

第二条信息系统实行等级保护制度。

信息系统上线运行前要确定安全保护等级，行业统一推广的信息系统由上级主管单位确定安全保护等级，XX系统统一推广的信息系统由总院确定安全保护等级，自建信息系统由本单位确定安全保护等级并由单位上级主管审核。

各分院（项目）按照国家、行业和总院有关要求，进行安全等级保护的建设、测评、整改工作，二级以上信息系统要进行第三方机构安全测评。

第三条处理国家秘密信息及行业敏感信息的涉密计算机、专用计算机和信息系统要实行物理隔离，禁止与互联网连接。

要加强信息内容安全管理，涉密存储介质要专管专用，上网信息严格执行审查制度。

第四条信息安全防护要与信息系统同步规划、同步建设、同步运行。

各XXXXX本部要强化身份鉴别、访问控制、安全审计等技术措施，建立和完善信息安全监测、预警响应和应急保障机制，并制订应急预案，明确应急处置流程和应急保障队伍，定期进行应急演练。

为XX系统提供信息技术外包服务的机构（含项目合作机构或单位）必须具有相应的资质。

各单位（部门）要与外包服务机构签订信息安全保密协议，明确信息安全保密责任。

外包服务机构在其申请信息安全管理体系认证时，若认证范围涉及行业信息，由XX的信息化部门评审。