等级保护新标准20解读
等保2.0新标准解读
等保2.0新标准解读5月13日下午,国家标准新闻发布会在市场监管总局马甸办公区新闻发布厅召开,网络安全等级保护制度2.0标准正式发布,包括网络安全等级保护的基本要求、测评要求、安全设计技术要求三个部分,实施时间为2019年12月1日。
《网络安全法》出台后,等级保护进入2.0时代,这意味着2007年四部门建立的“信息安全等级保护体系”已全面升级到“网络安全等级保护2.0体系”。
网络安全等级保护是国家网络安全保障的基本制度、基本策略、基本方法。
开展网络安全等级保护工作是保护信息化发展、维护网络安全的根本保障,是网络安全保障工作中国家意志的提现。
网络安全等级保护虽然依旧按照定级、备案、建设整改、等级测评、监督检查等五个阶段进行,同时,等级保护的“五个等级”及“主体职责”没有变化。
但是,等保2.0已经从法规条例“国务院147号令”上升到《网络安全法》的法律层面;《网络安全法》第二十一条要求,国家实施网络安全等级保护制度;第二十五条要求,网络运营者应当制定网络安全事件应急预案;第三十一条则要求,关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护;第五十九条明确了,网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门给予处罚。
总而言之,等保2.0实施后,不开展等级保护等于违反《网络安全法》,可以根据法律规定进行处罚。
传统等级保护(暂时叫等保1.0)主要强调物理安全、主机安全、网络安全、应用安全、数据安全及备份恢复等通用要求,而等保2.0标准在对等保1.0标准基本要求进行优化的同时,针对云计算、物联网、移动互联网、工业控制、大数据新技术提出了新的安全扩展要求。
也就是说,使用新技术的信息系统需要同时满足“通用要求安全扩展”的要求。
并且,针对新的安全形势提出了新的安全要求,标准覆盖度更加全面,安全防护能力有很大提升。
通用要求方面,等保2.0标准的核心是“优化”。
删除了过时的测评项,对测评项进行合理性改写,新增对新型网络攻击行为防护和个人信息保护等新要求,调整了标准结构、将安全管理中心从管理层面提升至技术层面。
等保2.0新版本变化分析
任何事物都会随着时代的发展而不断地变化更新,在网络领域也是如此。
对于网络安全保护工作的等级也是如此,近年来随着网络通讯技术的不断深入发展,等级保护制度也发生了一些变化。
有关等保2.0的相关标准已经发布有一段时间,离标准正式实施还有几个月的时间,之前关于等保2.0中测评结论的判定目前也已经尘埃落定,等保测评结论将由1.0时代的符合、基本符合、不符合改为2.0时代的优、良、中、差四个等级。
那么等保2.0这个新版本的等级保护制度有哪些方面的变化呢?下面就从以下五个方面给大家分析一下。
1.对象的变化。
对象由原来的“信息系统”变为了“等级保护对象(网络和信息系统)”,除了等保1.0版本强调的物理主机、应用、数据与传输,等保2.0标准在此基础上注重全方位主动防御、全可信、动态感知和全面审计,实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联和工业控制信息系统等各类新技术应用的全覆盖。
2.安全要求的变化。
安全要求变为了安全通用要求和安全扩展要求两部分,安全通用要求是不管等级保护对象形态如何必须满足的要求,而安全扩展要求是针对云计算、移动互联网、物联网和工业控制系统等所提出的特殊要求。
其中,云计算安全扩展要求对云计算环境主要增加的内容包括“基础设施的位置”、“虚拟化安全保护”、“镜像和快照保护”、“云服务商选择”和“云计算环境管理”等方面。
3.流程的变化。
除了等保1.0中定级、备案、建设整改、等级测评和监督检查这五个规定动作外,风险评估、安全监测、通报预警、事件调查、应急演练、灾难备份、自主可控、供应链安全、效果评价、综治考核等重点措施均纳入等保流程内。
整体流程更为复杂,内容也更加细化。
4.定级原则的变化。
等保2.0放弃了原来“自主定级、自主保护”的原则,采取了以国家行政机关持续监督的“明确等级、增强保护、常态监督”方式。
更重要的是,除上基础信息网络、工业控制系统、云计算平台、物联网、采用移动互联技术的网络和大数据等相关系统外,还做出了对关键信息基础设施定级原则上不低于三级的规定。
等保2.0标准体系详细解读-培训课件
行为;新增实现对网络攻击特别是新型网络攻击行为的分析 恶意代码和垃圾邮件防范:新增垃圾邮件防护 安全审计:新增对远程访问的用户行为、访问互联网的用户行为等单独进行行为
资源控制
7
数据完整性
2
数据安全及 备份恢复
数据保密性
2
备份和恢复
4
安全计算环境
控制点
要求项
身份鉴别
4
访问控制
7
安全审计
4
入侵防范
6
恶意代码防范
1
可信验证
1数据Biblioteka 整性2数据保密性2
数据备份恢复
3
剩余信息保护
2
个人信息保护
2
合计
34
变化列举
身份鉴别:加强用户身份鉴别,采用两种或两种以上鉴别方式,且其中 一种鉴别技术至少应使用密码技术来实现
安全审计 数据完整性 个人信息保护
入侵防范 数据保密性
安全区域边界
边界防护
访问控制
恶意代码和垃圾邮件防范
入侵防范 安全审计
可信验证
安全通信网络 网络架构
通信传输
可信验证
安全物理环境
物理位置选择 防雷击
温湿度控制
物理访问控制 防火
电力供应
防盗窃和防破坏
防水和防潮
防静电
电磁防护
通用要求-安全管理要求的变化
信息安全保障纲领 性文件,明确指出 “实行信息安全等 级保护“主要任务
进一步明确了信息 安全等级保护制度 的职责分工和工作 的要求等基本内容
明确了信息安全等 级保护的五个动作, 为开展等级保护工 作提供了规范保障
等保2.0政策规范解读(63页 PPT )
d) 应限制无线网络的使用,确保无线网络通过受控的边界防护设备 接入内部网络。
入侵防范
b) 应在关键网络节点处检测、防止或限制从内部发起的网络攻击行 为; (新增)
设计要求
测评要求
通用要求
云计算
物联网
移动互联
工业控制
7
。 share
等保2.0标准解读
勇 share
等级保护1.0和2.0对比
旧标准(等级保护1.0)
技术要求
物理安全 网络安全 主机安全 应用安全
管理要求
数据安全及备份恢复 安全管理制度 安全管理机构 人员安全管理 系统建设管理 系统运维管理
9
新标准(等级保护2.0)
无 入侵防范
无
a) 应采用校验码技术或密码技术保证通信过程中数据的完整性;
通信传输 b) 应采用密码技术保证通信过程中敏感信息字段或整个报文的保密 性。
a) 应保证跨越边界的访问和数据流通过边界防护设备提供的受控接 口进行通信;
边界防护
b) 应能够对非授权设备私自联到内部网络的行为进行限制或检 查;
3
4
6 防水和防潮
3
2
7 防静电
2
1
8 温湿度控制
1
4
9 电力供应
3
3
10 电磁防护
2
。 share
物理位置的选择
原控制项
新控制项
b)机房场地应避免设在建筑物的高层或 地下室,以及用水设备的下层或隔壁。 物理位置的选择
b)机房场地应避免设在建筑物的顶层或地下室, 否则应加强防水和防潮措施
防静电
无
等级保护新标准(2.0)介绍【优质PPT】
• 以《GB17859 计算机信息系统安全保护等级划分准则 》、《GB/T22239-2008 信息安全技术 信 息系统安全等级保护基本要求 》为代表的等级保护系列配套标准,习惯称为等保1.0标准。
• 2003年,中央办公厅、国务院办公厅颁发《国家信息化领导小组关于加强信息安全保障工作的意 见》(中办发[2003]27号)明确指出“实行信息安全等级保护”。
• 2004-2006年,公安部联合四部委开展涉及65117家单位,共115319个信息系统的等级保护基础 调查和等级保护试点工作,为全面开展等级保护工作奠定基础。
4
等级保护发展历程与展望
等级保护2.0时代,将根据信息技术发展应用和网络安全态势,不断丰富制度内涵、拓展保护范围、完善监 管措施,逐步健全网络安全等级保护制度政策、标准和支撑体系。
等级保护上升为法律
《中华人民共和国网络安全法》第21条规定“国家实行 网络安全等级保护制度”,要求“网络运营者应当按照网络 安全等级保护制度要求,履行安全保护义务”;第31条规定 “对于国家关键信息基础设施,在网络安全等级保护制度的 基础上,实行重点保护”。
5
1
等级保护发展历程与展望
2
等级保护2.0标准体系
√
3
等级保护2.0基本要求解析
4
等级保护2.0扩展要求解析
2021/5/27
6
等级保护2.0标准体系
GB 17859-1999 《计算机信息系统安全保护等级划分准则》
《《《《《《
信 息 系 统 安 全 等 级 保 护 定 级 指 南 》
等保2.0的主要变化_概述说明以及解释
等保2.0的主要变化概述说明以及解释1. 引言1.1 概述等保2.0是指国家互联网信息办公室发布的《信息系统安全等级保护管理规定》,也被称为“网络安全等级保护2.0”。
随着互联网技术的发展和网络威胁形势的不断演变,等保2.0作为对原有等级保护制度的一次重大改革,旨在解决现有制度存在的问题,并提供更加科学、灵活和有效的网络安全管理要求。
本文将介绍等保2.0主要变化以及对企业和组织带来的影响。
1.2 文章结构本文共分为五个部分。
第一部分是引言,简要介绍了等保2.0的概述、文章结构和目的。
第二部分将详细讨论等保2.0主要变化,包括背景介绍、主要变化概述以及解释这些变化的意义。
第三部分将深入探讨等保2.0所采取的具体改进措施,包括政策法规的更新、安全等级核定标准的调整以及技术要求的升级与完善。
第四部分将重点讨论等保2.0对企业和组织带来的影响与挑战,包括对企业安全管理体系的要求提升、对IT基础设施建设的影响以及对人员培训和意识提升的要求。
最后一部分是结论,总结本文内容。
1.3 目的本文旨在全面介绍等保2.0的主要变化,并解释这些变化对企业和组织产生的影响和挑战。
通过深入了解等保2.0的改革内容,读者可以更好地理解新制度背后的原因和意义,并为相应的安全管理工作做好准备。
同时,本文也为相关领域从业人员提供了一份详尽清晰的参考资料,在实践中能够更加有效地推进等保2.0标准的落地实施。
2. 等保2.0主要变化2.1 背景介绍等保2.0是中国国家网络安全宣传周的重要内容之一,旨在进一步提升我国信息系统安全保护水平,适应新形势下信息化发展对网络安全的新挑战和新需求。
随着互联网技术的迅猛发展及信息化水平的不断提高,我国网络空间面临着日益复杂多变的威胁与风险,原有的等级保护制度已经无法满足现代网络环境下的安全需求。
因此,等保2.0作为更新版的等级保护制度,在政策法规、核定标准以及技术要求方面都进行了重大调整和改进。
2.2 主要变化概述等保2.0相对于原有的等级保护制度,在以下方面进行了主要变化:首先,在政策法规层面上,等保2.0进行了修订和更新。
等级保护2.0解读与应对
© 2019 毕马威企业咨询(中国)有限公司 — 中国外商独资企业, 是与瑞士实体 — 毕马威国际合作组织 ( "毕马威国 5
际" ) 相关联的独立成员所网络中的成员。版权所有,不得转载。中国印刷。
等级保护2.0解读与应对
网络运营者的安全保护义务
等保条例在网络安全法规定的网络运营者安全保护义务的基础上,对网络运营者针 对不同安全保护等级网络的安全保护义务作了明确、细化的要求,这是等级保护 2.0作为“条例”的新变化,既是公安部门的监管重点,也是网络运营者等保建设 和测评的重点。
06
4 等级保护合规建议
11
5 毕马威等级保护合规服务
12
© 2019 毕马威企业咨询(中国)有限公司 — 中国外商独资企业, 是与瑞士实体 — 毕马威国际合作组织 ( "毕马威国 3
际" ) 相关联的独立成员所网络中的成员。版权所有,不得转载。中国印刷。
等级保护2.0解读与应对
等级保护发展历程
1994
等级保护合规建议毕马威网络安全服务基于企业运营现状和规划开展内部系统梳理识别并形成系统清单根据等级保护相关要求按业务重要程度系统对外服务可用性数据的类型和规模等要素梳理网络和系统及其边界明确信息安全责任主体和定级对象对内部系统进行初步定级根据确定的定级对象和对应级别参照等级保护相关要求进行差距分析形成自查报告针对不符合项确定整改策略开展整改工作包括技术措施落实和管理制度完善等按需开展网络安全法相关要求的合规性评估风险评估和技术检测等作为等级保护合规的必要补充按要求编制定级报告并组织必要的外部专家评审二级及以上完成主管部门审核如有后进一步完成公安部门备案选择公安部授权的测评机构开展测评根据初测结论进行安全整改并通过复测以获得备案证明三级及以上三级系统要求每年需测评1次二级系统建议每2年测围绕信息安全治理目标结合等保工作发现制定安全规划明确网络安全工作任务以及各项任务的优先级成本和资源参照等级保护20和行业最佳实践完善网络安全技术保障体系识别保护检测响应恢复等并按要求定期开展年度测评工作持续关注网络安全法及相关法律政策标准的动态及时对应新的监管要求系统梳理和定级自查整改第三方测评和备案持续改进等级保护合规路径等级保护是国家信息安全保障工作的基本制度
网络安全等级保护20通用要求版
网络安全等级保护20通用要求版随着信息技术的飞速发展,网络安全等级保护已成为国家信息安全的重要组成部分。
网络安全等级保护20通用要求版,旨在确保政府机构、企事业单位和其他组织在处理敏感信息时,实现信息安全等级保护,保障信息系统的安全稳定运行。
网络安全等级保护20通用要求版主要包括以下几个方面的内容:1、信息安全等级保护:组织应根据自身实际情况,将信息安全划分为不同的等级,并采取相应的保护措施。
其中,等级划分应依据信息的重要性和受到破坏后的危害程度进行。
2、风险管理:组织应建立完善的风险管理体系,对可能影响信息系统安全的各种因素进行全面分析,制定相应的风险应对策略。
3、物理安全:组织应确保物理环境的安全,包括机房、设备、电源、消防等方面的安全措施。
4、身份认证与访问控制:组织应建立完善的身份认证和访问控制机制,确保只有经过授权的人员才能访问敏感信息。
5、数据安全与隐私保护:组织应采取一系列措施,确保数据的完整性和保密性,防止未经授权的数据泄露和滥用。
6、应急响应与恢复:组织应制定完善的应急响应预案,确保在发生网络安全事件时,能够迅速响应并恢复系统的正常运行。
在实际应用中,网络安全等级保护20通用要求版具有以下重要意义:1、提高信息安全性:通过实施网络安全等级保护20通用要求版,组织能够加强对敏感信息的保护,减少网络安全事件的发生,提高信息安全性。
2、降低风险:通过风险管理措施的制定和实施,组织能够及时发现并解决潜在的安全隐患,降低信息安全风险。
3、提高工作效率:通过合理的等级划分和相应的保护措施,组织能够优化信息安全管理体系,提高工作效率。
总之,网络安全等级保护20通用要求版对于保障信息系统的安全稳定运行具有重要意义。
组织应认真贯彻落实相关要求,加强信息安全保护,确保国家信息安全。
信息系统网络安全等级保护建设方案信息系统网络安全等级保护建设方案随着信息技术的飞速发展,保障网络和信息系统的安全已经成为各行各业的重要任务。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
横向扩展了对 云计算、移动 互联网、物联 网、工业控制 系统的安全要 求;
纵向扩展了对 等保测评机构 的规范管理。
( 注 : 基 于 2017 年等级保护标 准系列征求意 见稿)
未变化
修订内容
新增
8
等级保护2.0标准体系
等保1.0
等保2.0
公安部已于2017年5月率先发布《网络安全等级保护定级指南》、《网络安全等级保护基本要求 第5部分:工业 控制系统安全扩展要求》等4个行业标准。
信 息 系 统 安 全 等 级 保 护 实 施 指 南 》
信 息 系 统 等 级 保 护 安 全 设 计 技 术 要 求
信 息 系 统 安 全 等 级 保 护 测 评 要 求 》
信 息 系 统 安 全 等 级 保 护 测 评 过 程 指 南
》
》
7
等级保护2.0标准体系
等保1.0
等保2.0
正式更名为网 络安全等级保 护标准;
5
1
等级保护发展历程与展望
2
等级保护2.0标准体系
√
3
等级保护2.0基本要求解析
4
等级保护2.0扩展要求解析
6等级Biblioteka 护2.0标准体系等保1.0
等保2.0
GB 17859-1999 《计算机信息系统安全保护等级划分准则》
《《《《《《
信 息 系 统 安 全 等 级 保 护 定 级 指 南 》
信 息 系 统 安 全 等 级 保 护 基 本 要 求 》
• 2007年6月,四部门联合出台《信息安全等级保护管理办法》。 • 2007年7月,四部门联合颁布《关于开展全国重要信息系统安全等级保护定级工作的通知》。 • 2007年7月20日,召开全国重要信息系统安全等级保护定级工作部署专题电视电话会议,标志着信
息安全等级保护制度正式开始实施。
• 2010年4月,公安部出台《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》 ,提出等级保护工作的阶段性目标。
等级保护工作内容将持续扩展
在定级、备案、建设整改、等级测评和监督检查等规定 动作基础上,2.0时代风险评估、安全监测、通报预警、案 事件调查、数据防护、灾难备份、应急处置、自主可控、 供应链安全、效果评价、综治考核等这些与网络安全密切 相关的措施都将全部纳入等级保护制度并加以实施。
等级保护对象将不断拓展
• 2010年12月,公安部和国务院国有资产监督管理委员会联合出台《关于进一步推进中央企业信息 安全等级保护工作的通知》,要求中央企业贯彻执行等级保护工作。
3
等级保护发展历程与展望
等保1.0时代 等保2.0工作
展望
• 2016年10月10日,第五届全国信息安全等级保护技术大召开,公安部网络安全保卫局郭启全总工 指出“国家对网络安全等级保护制度提出了新的要求,等级保护制度已进入2.0时代”。
等级保护新标准(2.0)介绍
1
等级保护发展历程与展望
√
2
等级保护2.0标准体系
3
等级保护2.0基本要求解析
4
等级保护2.0扩展要求解析
2
等级保护发展历程与展望
等保1.0时代 等保2.0工作
展望
• 1994年,国务院颁布《中华人民共和国计算机信息系统安全保护条例》,规定计算机信息系统实 行安全等级保护。
GA/T 1390.2—2017《信息安全技术 网络安全等级保护基本要求 第 2 部分:云计算安全扩展要求》
针对云计算架构的特点,对云计算环境下的物理位置、虚拟化网络、虚拟机、云服务方、云租户、虚拟镜像等技术保护要求,以及 云服务商选择、SLA协议、云安全审计等安全管理要求进行了规定。
• 2016年11月7日,《中华人民共和国网络安全法》正式颁布,第二十一条明确“国家实行网络安全 等级保护制度……”
• 以《GB17859 计算机信息系统安全保护等级划分准则 》、《GB/T22239-2008 信息安全技术 信 息系统安全等级保护基本要求 》为代表的等级保护系列配套标准,习惯称为等保1.0标准。
• 2013年,全国信息安全标准化技术委员会授权WG5-信息安全评估工作组开始启动等级保护新标 准的研究。
• 2017年1月至2月,全国信息安全标准化技术委员会发布《 网络安全等级保护基本要求》系列标准 、《 网络安全等级保护测评要求 》系列标准等“征求意见稿”。
• 2017年5月,国家公安部发布《GA/T 1389—2017 网络安全等级保护定级指南》、《GA/T 1390.2—2017 网络安全等级保护基本要求 第 2 部分:云计算安全扩展要求》等4个公共安全行业 等级保护标准。
GA/T 1389—2017《信息安全技术 网络安全等级保护定级指南》
在国标《信息安全等级保护定级指南》的基础上细化优化了对客体侵害事项、侵害程度的定义,确定了对基础信息网络、工业控制 系统 、云计算平台 、物联网、采用移动互联技术的信息系统 、大数据等对象的定级原则,进一步明确了定级过程中专家审查、主管 部门审核、公安机关备案审查等节点的管理要求。
4
等级保护发展历程与展望
等保1.0时代 等保2.0工作
展望
等级保护2.0时代,将根据信息技术发展应用和网络安全态势,不断丰富制度内涵、拓展保护范围、完善监 管措施,逐步健全网络安全等级保护制度政策、标准和支撑体系。
等级保护上升为法律
《中华人民共和国网络安全法》第21条规定“国家实行 网络安全等级保护制度”,要求“网络运营者应当按照网络 安全等级保护制度要求,履行安全保护义务”;第31条规定 “对于国家关键信息基础设施,在网络安全等级保护制度的 基础上,实行重点保护”。
• 2003年,中央办公厅、国务院办公厅颁发《国家信息化领导小组关于加强信息安全保障工作的意 见》(中办发[2003]27号)明确指出“实行信息安全等级保护”。
• 2004-2006年,公安部联合四部委开展涉及65117家单位,共115319个信息系统的等级保护基础 调查和等级保护试点工作,为全面开展等级保护工作奠定基础。
随着云计算、移动互联、大数据、物联网、人工智能 等新技术不断涌现,计算机信息系统的概念已经不能涵盖 全部,特别是互联网快速发展带来大数据价值的凸显,等 保保护对象的外延将不断拓展。
等级保护体系将进行重大升级
2.0时代,主管部门将继续制定出台一系列政策法规和 技术标准,形成运转顺畅的工作机制,在现有体系基础上 ,建立完善等级保护政策体系、标准体系、测评体系、技 术体系、服务体系、关键技术研究体系、教育训练体系等 。