等级保护新标准(2.0)介绍
等级保护新标准(2.0)介绍
等级保护新标准(2.0)介绍等级保护新标准(2.0)介绍1. 引言等级保护新标准(2.0),是为了建立更为严格和全面的等级保护措施而制定的标准。
旨在介绍等级保护新标准的具体内容和实施细节,以便各相关部门和个人能够正确理解和有效执行等级保护新标准。
2. 目标等级保护新标准的目标是确保对敏感信息和关键资产的全面保护,降低信息安全风险,并提高组织的信息安全保护能力。
3. 主要内容3.1 等级保护分类体系等级保护新标准建立了一套全新的等级保护分类体系,将信息系统划分为多个安全等级,并对每个安全等级制定了相应的保护要求。
3.2 等级保护标准与评估根据等级保护标准与评估指南,对信息系统进行等级保护评估,并根据评估结果确定相应的等级保护等级。
3.3 等级保护技术要求针对不同的安全等级,确定了相应的技术要求,包括但不限于网络安全、服务器安全、应用软件安全等方面的要求。
3.4 等级保护管理要求确定了等级保护管理的基本要求,包括信息系统保护责任、组织架构和职责、安全培训与教育等方面的内容。
4. 附件所涉及的附件如下:附件1:等级保护分类体系图附件2:等级保护标准与评估指南附件3:等级保护技术要求详细清单附件4:等级保护管理要求说明5. 法律名词及注释涉及的法律名词及注释如下:1. 《网络安全法》:指中华人民共和国于年通过的网络安全方面的法律。
2. 《信息安全技术等级保护管理办法》:指中华人民共和国年颁布的信息安全方面的管理办法。
6. 实施中可能遇到的困难及解决办法在实施等级保护新标准过程中,可能会遇到以下困难及相应的解决办法:困难1:组织内部对等级保护概念理解不足。
解决办法:开展相关培训和宣传活动,提供必要的教育资源,加强组织内部对等级保护的理解和认知。
困难2:技术要求过于复杂,无法满足实际需求。
解决办法:根据实际情况,适当调整技术要求,确保要求的合理性和可行性。
困难3:缺乏专业的评估机构。
解决办法:鼓励和支持有能力的机构开展等级保护评估工作,同时加强对评估机构的监管和管理。
等级保护新标准(2.0)介绍
等级保护新标准(2.0)介绍等级保护新标准(2.0)介绍1. 引言等级保护新标准(2.0),是为了建立更为严格和全面的等级保护措施而制定的标准。
旨在介绍等级保护新标准的具体内容和实施细节,以便各相关部门和个人能够正确理解和有效执行等级保护新标准。
2. 目标等级保护新标准的目标是确保对敏感信息和关键资产的全面保护,降低信息安全风险,并提高组织的信息安全保护能力。
3. 主要内容3.1 等级保护分类体系等级保护新标准建立了一套全新的等级保护分类体系,将信息系统划分为多个安全等级,并对每个安全等级制定了相应的保护要求。
3.2 等级保护标准与评估根据等级保护标准与评估指南,对信息系统进行等级保护评估,并根据评估结果确定相应的等级保护等级。
3.3 等级保护技术要求针对不同的安全等级,确定了相应的技术要求,包括但不限于网络安全、服务器安全、应用软件安全等方面的要求。
3.4 等级保护管理要求确定了等级保护管理的基本要求,包括信息系统保护责任、组织架构和职责、安全培训与教育等方面的内容。
4. 附件所涉及的附件如下:附件1:等级保护分类体系图附件2:等级保护标准与评估指南附件3:等级保护技术要求详细清单附件4:等级保护管理要求说明5. 法律名词及注释涉及的法律名词及注释如下:1. 《网络安全法》:指中华人民共和国于年通过的网络安全方面的法律。
2. 《信息安全技术等级保护管理办法》:指中华人民共和国年颁布的信息安全方面的管理办法。
6. 实施中可能遇到的困难及解决办法在实施等级保护新标准过程中,可能会遇到以下困难及相应的解决办法:困难1:组织内部对等级保护概念理解不足。
解决办法:开展相关培训和宣传活动,提供必要的教育资源,加强组织内部对等级保护的理解和认知。
困难2:技术要求过于复杂,无法满足实际需求。
解决办法:根据实际情况,适当调整技术要求,确保要求的合理性和可行性。
困难3:缺乏专业的评估机构。
解决办法:鼓励和支持有能力的机构开展等级保护评估工作,同时加强对评估机构的监管和管理。
等保2.0主要标准-解释说明
等保2.0主要标准-概述说明以及解释1.引言1.1 概述概述随着信息技术的不断发展和日益普及,网络空间安全问题已经成为了一个全球性难题。
为了提高国家网络安全水平,我国推出了一系列的信息安全等级保护(等保)标准。
等保标准旨在规范和指导各类网络系统、设备和服务的安全建设与管理,以保护国家的核心信息基础设施和重要信息资源的安全。
在等保标准的演进过程中,等保2.0标准应运而生。
等保2.0标准是在等保1.0标准的基础上进一步完善和提升的,以适应网络安全形势的发展和应对新的威胁挑战。
本文将从等保2.0标准的角度,对其主要内容、应用与实施以及重要性进行深入探讨。
另外,还将对等保2.0标准存在的局限性进行分析,并展望其未来的发展方向。
通过阅读本文,读者可对等保2.0标准有一个全面的了解,从而更好地理解和应用这一标准,提升网络安全保障水平,推动我国网络安全事业的健康发展。
1.2 文章结构文章结构部分的内容可以包括以下几个方面:首先,简要介绍本文的组织结构。
本文主要分为三个部分,分别是引言、正文和结论。
每个部分都涵盖了等保2.0主要标准相关的内容,通过逐步展开的方式,从整体和细节两个层面深入探讨等保2.0主要标准的方方面面。
其次,详细说明引言部分的内容。
引言部分将提供该篇文章的背景信息以及对等保2.0主要标准的整体概述。
包括等保2.0标准的定义、由来和发展背景等内容,以便读者能够对本文所述的主题有一个基本的了解。
接着,阐述正文部分的内容和结构。
正文部分是本文的核心,将对等保2.0主要标准进行详细介绍。
主要分为两个子节:等保2.0标准的介绍和等保2.0标准的主要内容。
等保2.0标准的介绍将给出更具体的详细信息,包括标准的制定机构、标准的适用范围和目标等。
而等保2.0标准的主要内容将对标准的具体要求和指导进行详细解读,包括网络安全风险评估与等级划分、网络安全保护等级与技术要求等方面。
最后,简要说明结论部分的内容和意义。
等级保护2.0 三级 概述
等级保护2.0 三级概述等级保护2.0(等保2.0)是我国信息安全保障的基本制度,其三级标准是在法律法规的基础上,对信息系统安全、物理和环境安全、网络通信安全、设备和计算安全、应用和数据安全、安全管理、评估与审计、应急响应等方面提出的具体要求。
1. 法律法规基础:等保2.0三级依据国家法律法规和标准,对信息系统的合规性进行严格要求,确保信息系统符合法律法规的要求。
2. 信息系统安全:等保2.0三级对信息系统的安全性提出更高要求,包括信息的保密性、完整性和可用性等。
3. 物理和环境安全:等保2.0三级强调物理和环境安全,对物理访问控制、物理安全监测等提出具体要求。
4. 网络通信安全:等保2.0三级在网络通信安全方面要求建立完善的网络安全体系,包括网络隔离、入侵检测、漏洞扫描等。
5. 设备和计算安全:等保2.0三级对设备和计算安全提出要求,包括防病毒、身份认证、访问控制等。
6. 应用和数据安全:等保2.0三级要求应用和数据安全得到保障,包括数据加密、数据备份等。
7. 安全管理:等保2.0三级强调安全管理,要求建立完善的安全管理体系,包括安全组织、安全策略、安全制度等。
8. 评估与审计:等保2.0三级要求对信息系统进行定期的评估和审计,确保信息系统的安全性。
9. 应急响应:等保2.0三级要求建立完善的应急响应机制,包括应急预案、应急演练等。
10. 技术要求符合性验证:等保2.0三级还要求对各项安全技术要求进行符合性验证,确保各项安全措施的有效性。
11. 人员安全:等保2.0三级强调人员安全的重要性,包括对员工的安全培训、岗位管理以及权限管理等方面提出了具体要求。
12. 供应链安全:等保2.0三级要求对供应链安全进行管理,包括对供应商的评估、管理以及控制等方面提出了具体要求。
通过满足等级保护2.0三级的要求,组织可以有效地提高信息系统的安全防护能力,减少安全风险,保障业务的正常运行。
等级保护新标准(2.0)介绍
等级保护新标准(2.0)介绍等级保护新标准(2.0)介绍1. 简介本文档是关于等级保护新标准(2.0)的介绍。
该标准是为了加强信息安全等级保护,规范等级保护工作而制订的。
本标准以国家机密级别的保密需求为基础,结合相关法律法规和标准,制定了一系列可以实施的等级保护管理措施。
2. 合用范围合用于所有需要保护的信息系统和网络,包括政府机构、军队、企事业单位、金融机构、教育机构等。
3. 等级保护级别等级保护按照保护的信息系统的重要程度和保密需求,分为五个等级:一级、二级、三级、四级、五级。
其中,一级为最高等级,五级为最低等级。
4. 等级保护体系等级保护体系主要包括等级保护的组织、等级保护的管理、等级保护的技术和等级保护的评估四个方面。
其中等级保护的评估是整个体系的核心,它可以对等级保护管理的全过程进行监督和评估。
5. 等级保护管理措施等级保护管理措施主要包括等级保护的责任制、等级保护的人员管理、等级保护的物理安全、等级保护的网络安全、等级保护的应用安全等方面。
其中,等级保护的责任制是整个体系的核心,它明确了各级管理人员的职责和义务,保证了等级保护措施的实施。
6. 法律法规和标准等级保护涉及到多个法律法规和标准,包括《中华人民共和国保守国家秘密法》、《信息安全等级保护管理办法》、《信息安全技术等级保护基本要求》、《信息安全技术等级保护测评规范》等。
总结:1. 本文档所涉及简要注释如下:等级保护:对信息系统和网络进行分类和分级,并采取相应的安全保护措施,以确保信息系统和网络的安全。
等级保护体系:包括等级保护的组织、等级保护的管理、等级保护的技术和等级保护的评估四个方面,是确保等级保护有效实施的重要保障。
等级保护管理措施:包括等级保护的责任制、等级保护的人员管理、等级保护的物理安全、等级保护的网络安全、等级保护的应用安全等方面,是确保等级保护有效实施的具体措施。
2. 本文档所涉及的法律名词及注释:《中华人民共和国保守国家秘密法》:规定了国家秘密的保护范围和等级,确保国家秘密不被泄露。
等级保护2.0标准解读
等级保护2.0标准解读随着互联网技术的不断发展,人们对于个人信息保护的关注程度逐渐提升。
为此,我国相继出台了多项保护个人信息的法规和标准。
其中,等级保护2.0标准是其中重要的一项。
一、等级保护2.0标准的背景等级保护2.0标准是我国信息安全领域的一项重要标准,它的出台主要是针对当前信息环境下的数据泄露、跨界收集等问题,以及对于个人敏感信息保护的需要。
本标准对于政府、企业和个人都有一定的指导意义,是希望通过技术和管理手段来维护信息安全和保护用户个人信息。
二、等级保护2.0标准的主要内容1.等级分类等级保护2.0标准将信息系统按照不同的等级分类,具体分为四个等级。
通过等级分类,可以让用户直观地了解自己的信息系统安全等级,从而更好地保障个人信息的安全。
2.安全控制要求不同等级的信息系统,其保护措施的要求也不同。
等级保护2.0标准中详细列出了四个等级的信息系统所需要的安全控制要求,包括安全管理、物理安全、网络安全、数据安全、应用安全等方面。
其中每一个安全控制要求都有详细的说明和操作指南。
3.风险评估根据等级保护2.0标准,用户需要对自己所属的信息系统进行风险评估,并根据评估结果来采取相应的安全保护措施。
这个过程需要基于实际情况,适当评估信息系统的风险程度,以便在安全措施上精准地投入精力。
4.日志管理等级保护2.0标准要求对于信息系统的运行情况进行日志管理,以便及时发现异常情况并采取相应的措施。
同时,对于重要信息系统,需要开展安全监视和重要事件和安全事件的应急响应工作。
三、等级保护2.0标准实施的意义等级保护2.0标准的出台,对于保护个人信心和保障信息安全具有重要的意义。
它能够有效地帮助用户改善信息安全,保护个人信息的私密性和完整性。
同时,对于企业和政府也具有重要的指导意义,可以指导其科学地进行信息系统的规划和设计,保障信息安全。
四、等级保护2.0标准在实践中的运用等级保护2.0标准已经在我国得到广泛的应用,是保障信息安全方面的重要举措。
等级保护新标准(2.0)介绍
等级保护新标准(2.0)介绍【等级保护新标准(2.0)介绍】1. 引言等级保护是确保敏感信息的安全保密性和完整性的一种重要机制。
为了更好地适应信息时代的安全需求,我们团队开发了等级保护新标准(2.0)。
旨在详细介绍该标准的各项内容,包括概述、目标、要求、实施方法和考虑因素等。
2. 概述该标准旨在确保敏感信息在存储、传输和处理过程中的安全性,并提供一个明确的等级分类体系。
通过合理的等级划分和相应的保护策略,我们可以更好地保护敏感信息免遭未经授权的访问、篡改或泄露。
3. 目标等级保护新标准(2.0)的主要目标包括:- 提供一个全面的敏感信息保护框架。
- 确保敏感信息在存储、传输和处理过程中的安全性。
- 为不同组织提供灵活的等级划分和保护策略选择。
- 提高信息系统的安全性和可信度。
4. 要求4.1 安全等级划分本标准基于信息系统的安全需求对敏感信息进行了等级划分,包括至少五个安全等级,分别为最高级、高级、中级、低级和公共级。
4.2 保护策略每个安全等级都有相应的保护策略要求,包括但不限于:身份认证、访问控制、数据加密、安全审计等措施。
4.3 安全技术要求针对敏感信息的存储、传输和处理过程,本标准提出了一系列安全技术要求,包括密钥管理、防火墙设置、网络隔离等。
5. 实施方法本标准的实施方法分为三个阶段:5.1 等级划分组织需要根据自身的业务需求和信息系统特点,确定适当的安全等级划分。
5.2 保护策略选择根据不同安全等级的保护策略要求,组织需要选择合适的保护措施和技术措施。
5.3 安全技术实施组织需要在信息系统中实施相应的安全技术要求,确保对敏感信息的保护达到标准要求。
6. 考虑因素在实施过程中,需要考虑以下因素:- 信息系统的规模和复杂性。
- 安全投入和资源预算。
- 法律法规的要求。
- 外部环境的威胁和风险。
【文档结尾】1. 所涉及附件如下:- 附录A:等级保护新标准(2.0)详细解读- 附录B:等级保护新标准(2.0)实施指南- 附录C:等级保护新标准(2.0)安全技术要求2. 如下所涉及的法律名词及注释:- 法律名词1:注释- 法律名词2:注释- ...3. 如下在实际执行过程中可能遇到的困难及解决办法:- 困难1:解决办法- 困难2:解决办法- ...。
等级保护2.0标准解读
等级保护2.0标准解读引言等级保护是指对信息系统根据其重要程度和承载的信息类型进行分类,并根据其分类确定相应的技术和管理措施,以达到保护信息系统安全的目的。
等级保护2.0标准(以下简称标准)是中国国家信息安全等级保护测评中心(以下简称测评中心)发布的信息安全评价标准,通过对信息系统进行评估,为政府和企事业单位提供安全等级保护的指导和借鉴。
标准内容等级划分标准对信息系统安全分为5个等级,分别为A、B、C、D和E等级,等级越高,要求越严格。
根据应用场景和信息系统的特点,使用方可根据需要选择相应的等级进行评估和保护。
技术要求标准对于不同等级的信息系统,提出了相应的技术要求。
技术要求包括网络安全、系统安全、数据安全等方面的要求,并且对不同等级的信息系统要求不同。
例如,在网络安全方面,标准要求高等级信息系统采用多层次防护措施,包括网络入侵检测系统、防火墙、流量监测等;而低等级信息系统则要求基本的网络防护措施,如杀毒软件、防火墙等。
管理要求标准对等级保护的管理要求进行了明确。
管理要求包括安全管理组织、安全策略和规范、安全培训和意识教育等方面的要求。
管理要求的关键在于对等级保护的全生命周期和全链条进行管理,确保信息系统的安全保护工作得到有效的执行。
测评规程标准对信息系统的测评规程进行了详细描述。
测评规程包括等级划分、测评方案、测评方法、测评程序等方面的内容,确保测评工作的规范和有效性。
测评结果被用于评估信息系统的安全等级,并为信息系统提供相应的加固和改进建议。
使用指南标准的使用指南主要包括等级划分、技术要求、管理要求和测评规程的解读和应用。
使用方可根据自身信息系统的特点和需要,按照标准的要求进行评估和保护工作。
标准还提供了一些实施细则和指导,为使用方提供了实际操作的参考。
等级保护2.0标准是一项重要的信息安全评价标准,通过对信息系统的评估和保护,可以有效提高信息系统的安全性和可靠性。
标准的发布为政府和企事业单位提供了参考和指导,帮助其建立健全的信息安全管理体系,保护重要信息资产的安全。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
︽ 信 息 系 统 等 级 保 护 安 全 设 计 技 术 要 求 ︾
︽ 信 息 系 统 安 全 等 级 保 护 测 评 要 求 ︾
︽ 信 息 系 统 安 全 等 级 保 护 测 评 过 程 指 南 ︾
等级保护2.0标准体系
等保1.0 等保2.0
正式更名为网 络安全等级保 护标准;
横向扩展了对 云计算、移动 互联网、物联 网、工业控制 系统的安全要 求; 纵向扩展了对 等保测评机构 的规范管理。
等级保护体系将进行重大升级
2.0时代,主管部门将继续制定出台一系列政策法规和 技术标准,形成运转顺畅的工作机制,在现有体系基础上 ,建立完善等级保护政策体系、标准体系、测评体系、技 术体系、服务体系、关键技术研究体系、教育训练体系等 。
1
2 3
等级保护发展历程与展望
等级保护2.0标准体系
等级保护2.0基本要求解析
•
2.0系列标
准编制工作
•
•
•
以《GB17859 计算机信息系统安全保护等级划分准则 》、《GB/T22239-2008 信息安全技术 信 息系统安全等级保护基本要求 》为代表的等级保护系列配套标准,习惯称为等保1.0标准。 2013年,全国信息安全标准化技术委员会授权WG5-信息安全评估工作组开始启动等级保护新标 准的研究。 2017年1月至2月,全国信息安全标准化技术委员会发布《 网络安全等级保护基本要求》系列标准 、《 网络安全等级保护测评要求 》系列标准等“征求意见稿”。 2017年5月,国家公安部发布《GA/T 1389—2017 网络安全等级保护定级指南》、《GA/T 1390.2—2017 网络安全等级保护基本要求 第 2 部分:云计算安全扩展要求》等4个公共安全行业 等级保护标准。
( 注 : 基 于 2017 年等级保护标准系 列征求意见稿) 未变化 修订内容 新增
等级保护2.0标准体系
等保1.0 等保2.0
公安部已于2017年5月率先发布《网络安全等级保护定级指南》、《网络安全等级保护基本要求 第5部分:工业 控制系统安全扩展要求》等4个行业标准。
GA/T 1389—2017《信息安全技术 网络安全等级保护定级指南》 在国标《信息安全等级保护定级指南》的基础上细化优化了对客体侵害事项、侵害程度的定义,确定了对基础信息网络、工业控制 系统 、云计算平台 、物联网、采用移动互联技术的信息系统 、大数据等对象的定级原则,进一步明确了定级过程中专家审查、主管 部门审核、公安机关备案审查等节点的管理要求。
等级保护2.0定级要求解析
定级要求
① 定级要求
重新对部分内容的顺序作了调整,从整体显得更加的合理。 增加了新的内容和流程,例如扩展了定级的对象,包括基础信息网络、工业控制系统、云计算平台、物联网、其他信息系统、 大数据等;新增加的流程为“定级工作一般流程”,并对旧版本“定级一般流程”更名为“定级方法流程”。
等级保护2.0定级要求解析
定级要求
③ 定级对象
重新对定级对象进行调整,并进行相应的介绍。 2.0定级对象分为基础信息网络、信息系统和其他 信息系统,其中信息系统再细分为工业控制系统 、物联网、大数据、移动互联以及云计算平台。
新增定级流程
定级对象
工业控制系统 工业控制系统主要由生产管理层、现场设备 层、现场控制层和过程监控层构成,其中: 生产管理层的定级对象确定原则见(其他信 息系统)。设备层、现场控制层和过程监控 层应作为一个整体对象定级,各层次要素不 单独定级。 对于大型工业控制系统,可以根据系统功能 、控制对象和生产厂商等因素划分为多个定 级对象。 物联网 物联网应作为一个整体对象定级,主要包括 感知层、网络传输层和处理应用层等要素。
定级对象的运营、使用单位应按照相关管理规定,将初步定级结果提交公 安机关进行备案审查,审查不通过,其运营使用单位应组织重新定级;审 查通过后最终确定定级对象的安全保护等级。
注:基于GA/T 1389—2017《网络安全等级保护定级指南》及GB/T 22240—2008《信息系统安全等级保护定级指南》内容对比分析。
2010-2016 工作规模推进
• •
等级保护发展历程与展望
等保1.0时代 等保2.0工作 展望
• 重要标志 •
2016年10月10日,第五届全国信息安全等级保护技术大召开,公安部网络安全保卫局郭启全总工 指出“国家对网络安全等级保护制度提出了新的要求,等级保护制度已进入2.0时代”。 2016年11月7日,《中华人民共和国网络安全法》正式颁布,第二十一条明确“国家实行网络安全 等级保护制度……”
等级保护上升为法律
《中华人民共和国网络安全法》第21条规定“国家实行 网络安全等级保护制度”,要求“网络运营者应当按照网络 安全等级保护制度要求,履行安全保护义务”;第31条规定 “对于国家关键信息基础设施,在网络安全等级保护制度的 基础上,实行重点保护”。
等级保护工作内容将持续扩展
在定级、备案、建设整改、等级测评和监督检查等规定 动作基础上,2.0时代风险评估、安全监测、通报预警、案 事件调查、数据防护、灾难备份、应急处置、自主可控、 供应链安全、效果评价、综治考核等这些与网络安全密切 相关的措施都将全部纳入等级保护制度并加以实施。
等级保护新标准(2.0)介绍
1
2 3
等级保护发展历程与展望
等级保护2.0标准体系
等级保护2.0基本要求解析
4
等级保护2.0扩展要求解析
等级保护发展历程与展望
等保1.0时代 等保2.0工作
• 1994-2003 政策环境营造 •
展望
1994年,国务院颁布《中华人民共和国计算机信息系统安全保护条例》,规定计算机信息系统实 行安全等级保护。 2003年,中央办公厅、国务院办公厅颁发《国家信息化领导小组关于加强信息安全保障工作的意 见》(中办发[2003]27号)明确指出“实行信息安全等级保护”。
4
等级保护2.0扩展要求解析
等级保护2.0标准体系
等保1.0 等保2.0
GB 17859-1999 《计算机信息系统安全保护等级划分准则》
︽ 信 息 系 统 安 全 等 级 保 护 定 级 指 南 ︾
︽ 信 息 系 统 安 全 等 级 保 护 基 本 要 求 ︾
︽ 信 息 系 统 安 全 等 级 保 护 实 施 指 南 ︾
等级保护发展历程与展望
等保1.0时代 等保2.0工作 展望
等级保护2.0时代,将根据信息技术发展应用和网络安全态势,不断丰富制度内涵、拓展保护范围、完善监 管措施,逐步健全网络安全等级保护制度政策、标准和支撑体系。 等级保护对象将不断拓展
随着云计算、移动互联、大数据、物联网、人工智能 等新带来大数据价值的凸显,等 保保护对象的外延将不断拓展。
新增定级流程
定级对象
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严 重损害,或者对国家安全造成损害。
第三级,等级保护对象受到破坏后,会对公民、法人和其他 组织的合法权益产生特别严重损害,或者对社会秩序和公共 利益造成严重损害,或者对国家安全造成损害;
1.0 要 求
定级一般流程;
2.0 要 求
1.0 要 求
信息系统 一个单位内运行的信息系统可能比 较庞大,为了体现重要部分重点保 护,有效控制信息安全建设成本, 优化信息安全资源配置的等级保护 原则,可将较大的信息系统划分为 若干个较小的、可能具有不同安全 保护等级的定级对象。
2.0 要 求
采用移动互联技术的信息系统 采用移动互联技术的等级保护对象应作为一 个整体对象定级,主要包括移动终端、移动 应用、无线网络以及相关应用系统等。 大数据 应将具有统一安全责任单位的大数据作为一 个整体对象定级, 或将其与责任主体相同 的相关支撑平台统一定级。
注:基于GA/T 1389—2017《网络安全等级保护定级指南》及GB/T 22240—2008《信息系统安全等级保护定级指南》内容对比分析。
云计算平台 在云计算环境中,应将云服务方侧的云计算平台单 独作为定级对象定级, 云租户侧的等级保护对象也 应作为单独的定级对象定级。 对于大型云计算平台,应将云计算基础设施和有关 辅助服务系统划分为不同的定级对象。
基础信息网络 对于电信网、广播电视传输网、互联网等基础信息 网络,应分别依据服务类型、服务地域和安全责任 主体等因素将其划分为不同的定级对象。 跨省全国性业务专网可作为一个整体对象定级,也 可以分区域划分为若干个定级对象。 其他信息系统 作为定级对象的其他信息系统应具有如下基本特征 : a) 具有确定的主要安全责任单位。作为定级对象的 信息系统应能够明确其主要安全责任单位; b) 承载相对独立的业务应用。 作为定级对象的信息 系统应承载相对独立的业务应用, 完成不同业务目 标或者支撑不同单位或不同部门职能的多个信息系 统应划分为不同的定级对象; c) 具有信息系统的基本要素。 作为定级对象的信息 系统应该是由相关的和配套的设备、 设施按照一定 的应用目标和规则组合而成的多资源集合,单一设 备(如服务器、终端、网络设备等)不单独定级。
GA/T 1390.5—2017 《信息安全技术 网络安全等级保护基本要求 第 5 部分:工业控制系统安全扩展要求》
分析了工业控制系统的层次模型、区域模型,提出了工业控制系统安全域划分和保护的主要原则。并从物理提示标志、网络非必要 通信控制、系统时间戳等技术方面,以及工控系统管理员/工控网络管理员/工控安全管理员岗位设置、工控设备的版本号漏洞控制等 管理方面进行了规定。
GA/T 1390.2—2017《信息安全技术 网络安全等级保护基本要求 第 2 部分:云计算安全扩展要求》
针对云计算架构的特点,对云计算环境下的物理位置、虚拟化网络、虚拟机、云服务方、云租户、虚拟镜像等技术保护要求,以及 云服务商选择、SLA协议、云安全审计等安全管理要求进行了规定。 GA/T 1390.3—2017 《信息安全技术 网络安全等级保护基本要求 第 3 部分:移动互联安全扩展要求》 针对移动互联网系统中移动终端、移动 应用和无线网络等三个关键要素,明确了无线接入设备的安装选择、无线接入网关处理能 力、非授权移动终端接入等技术保护要求,以及应用软件分发运营商选择、移动终端应用软件恶意代码防范等管理要求进行了规定。