等级保护2.0标准
2024-05-17 04:48
1. 等级保护2.0标准
法律分析:等级保护2.0标准体系主要标准如下:1.网络安全等级保护条例2.计算机信息系统安全保护等级划分准则3.网络安全等级保护实施指南4.网络安全等级保护定级指南5.网络安全等级保护基本要求6.网络安全等级保护设计技术要求7.网络安全等级保护测评要求8.网络安全等级保护测评过程指南。第一级(自主保护级),等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益;第二级(指导保护级),等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全;第三级(监督保护级),等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生特别严重损害,或者对社会秩序和公共利益造成严重损害,或者对国家安全造成损害;第四级(强制保护级),等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害;第五级(专控保护级),等级保护对象受到破坏后,会对国家安全造成特别严重损害相较于1.0版本,2.0在内容上到底有哪些变化呢?1.0定级的对象是信息系统,2.0标准的定级的对象扩展至:基础信息网络、云计算平台、物联网、工业控制系统、使用移动互联技术的网络以及大数据平台等多个系统,覆盖面更广。再者,在系统遭到破坏后,对公民、法人和其他组织的合法权益造成特别严重损害的由原来的最高定为二级改为现在的最高可以定为三级。最后,等保2.0标准不再强调自主定级,而是强调合理定级,系统定级必须经过专家评审和主管部门审核,才能到公安机关备案,定级更加严格。总结通过建立安全技术体系和安全管理体系,构建具备相应等级安全保护能力的网络安全综合防御体系,开展组织管理、机制建设、安全规划、通报预警、应急处置、态势感知、能力建设、监督检查、技术检测、队伍建设、教育培训和经费保障等工作。法律依据:《中华人民共和国网络安全法》第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;(四)采取数据分类、重要数据备份和加密等措施;(五)法律、行政法规规定的其他义务。第三十一条 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。
2. 等级保护新标准2.0解读
2019年,等保2.0相关的《信息安全技术 网络安全等级保护基本要求》、《信息安全技术 网络安全等级保护测评要求》、《信息安全技术 网络安全等级保护安全设计技术要求》等国家标准正式发布,并于2019年12月1日开始实施,我国也正式迈入等保2.0时代。 下面是等保2.0三大核心新标准的介绍: 1、GB/T 22239-2019 《信息安全技术 网络安全等级保护基本要求》 该项标准是等级保护标准体系的核心,对2008版标准中提出的基本要求进行了修改完善,形成安全通用要求;对云计算、大数据、移动互联、物联网、工业控制等新技术和新应用领域,提出了安全扩展要求。 2、GB/T25070-2019 《信息安全技术 网络等级保护安全设计技术要求》 该标准主要对共性安全保护目标提出通用安全设计技术要求,该标准适用于指导运营使用单位、网络安全企业、网络安全服务机构开展网络安全等级保护安全技术方案的设计和实施,也可作为网络安全职能部门进行监督、检查和指导的依据。 3、GB/T28448-2019 《信息安全技术 网络安全等级保护测评要求》 该标准与等级保护基本要求保持一致,主要明确了测评对象、测评判定规则等内容。该标准为安全测评服务机构、等级保护对象的主管部门及运营使用单位对等级保护对象的安全状况进行安全测评提供指南。信息安全监管职能部门进行网络安全等级保护监督检查时参考使用。 此外,从等保1.0到等保2.0,等级保护发生的主要变化有: 1、意义的变化 由信息安全等级保护→网络安全等级保护,强调网络空间安全。网络安全法第21条、第31条明确规定了网络运营者和关键信息基础设施运营者,都应该按网络安全等级保护制度的要求对系统进行安全保护,以法律的形式确定等级保护工作为国家网络安全的基本国策,并在法律层面确立了其在网络安全领域的基础、核心地位。 2、对象的变化 新等保实现了保护对象的全覆盖,更具普适性与指导性,对象扩大了(包括基础网络),通用要求加扩展要求(工控、云计算、大数据、物联网、移动互联),更适应当前信息化高速发展所面临的新问题新挑战。 3、定级的变化 三级系统的定级新增了一类受侵害客体:对于公民、法人和其他组织的合法权益造成严重影响的应定为三级。 4、测评标准的变化 测评要求的测评单元中增加了【测评对象】项,进一步明确了测评的对象。测评条件更具适应性但是要求更严格(复测评周期、测评控制项的减少、合规基线上调测评75分以上合格,当然这部分要求在部分地区部分行业主管单位现行等保标准也有基于现状及预期效果有弹性要求、例如个别地区卫健委要求医院等保初次等保测评合格分数基线为80分,复测评合格分数基线为85分)、某省金融行业等保测评合格分数基线为90分。四级及以上系统复测评周期延长,改为一年为复测评周期,兼顾考虑了实际等级保护工作所面临的复杂情况,更符合实际工作的场景。 5、定级备案实施方面的变化 等保2.0在定级备案实施也发生了变化,在备案环节原30天内备案的时间缩短为10个工作日。等保2.0的定级,不是自主定级,到公安机关定级备案前要新增两个关键环节,确保定级备案的严谨与准确,第一对于定级对象的等级要经过专家评审,第二要经得主管部门审核通过,才能到公安机关备案确定最终等级保护对象的级别,整体定级更加严格。新建的第三级以上定级对象,通过等级测评后方可投入运行,加强“同步性”原则。 6、其他 从等级保护2.0框架中能够体现“一个中心,三重防护”的思想得以升华,等保2.0标准体系相比现行等保标准的安全体系更注重动态防御(变被动防护为主动防护,变静态防护为动态防护,变单点防护为整体防控,变粗放防护为精准防护),强调事前预防、事中响应、事后审计。等级保护2.0体系中要求应依据国家网络安全等级保护政策和标准,开展组织管理、机制建设、安全规划、安全监测、通报预警、应急处置、态势感知、能力建设、监督检查、技术检测、安全可控、队伍建设、教育培训和经费保障等工作。 等保2.0首次加入了可信计算的相关要求并分级逐级提出可采用可信验证的要求。注意是可采用不是应采用。另外在恶意代码防范方面三级系统要求或采用主动免疫可信验证机制。四级以上恶意代码防范方面要求应采用主动免疫可信验证机制。 等保2.0新增个人信息保护内容,个人信息安全做为网络安全法的内容在等保要求控制项中也独立出现,在当前政务互通、人物互联,个人信息被广泛采集的商业、政务环境下,意指提升个人信息保护的重要性和必要性。
3. 等级保护新标准(2.0)介绍 ppt课件
“等级保护2.0”或“等保2.0”是一个约定俗成的说法,指按新的等级保护标准规范开展工作的统称。通常认为是《中华人民共和国网络安全法》颁布施行后提出,以2019年12月1日,网络安全等级保护基本要求、测评要求和设计技术要求更新发布新版本为象征性标志。 等级保护分为5个级别: 第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。 第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。 第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。 第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。 第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。 网络安全等级保护备案办理流程: 一步:定级;(定级是等级保护的首要环节) 二步:备案;(备案是等级保护的核心) 三步:建设整改;(建设整改是等级保护工作落实的关键) 四步:等级测评;(等级测评是评价安全保护状况的方法) 五步:监督检查。(监督检查是保护能力不断提高的保障) 证书案例
4. 等级保护2.0根据什么法律法规
一、《中华人民共和国网络安全法》 第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改: (一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任; (二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施; (三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月; (四)采取数据分类、重要数据备份和加密等措施; (五)法律、行政法规规定的其他义务。 第二十五条 网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。 第五十九条 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。 关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。 二、《信息安全等级保护管理办法》 第三条 公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。 第十五条已运营(运行)的第二级以上信息系统,应当在安全保护等级确定后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。 新建第二级以上信息系统,应当在投入运行后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。 隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,应当向当地设区的市级以上公安机关备案。 第十七条信息系统备案后,公安机关应当对信息系统的备案情况进行审核,对符合等级保护要求的,应当在收到备案材料之日起的10个工作日内颁发信息系统安全等级保护备案证明;发现不符合本办法及有关标准的,应当在收到备案材料之日起的10个工作日内通知备案单位予以纠正;发现定级不准的,应当在收到备案材料之日起的10个工作日内通知备案单位重新审核确定。 运营、使用单位或者主管部门重新确定信息系统等级后,应当按照本办法向公安机关重新备案。 三、《公安机关互联网安全监督检查规定》 第十条 公安机关应当根据互联网服务提供者和联网使用单位履行法定网络安全义务的实际情况,依照国家有关规定和标准,对下列内容进行监督检查: (一)是否办理联网单位备案手续,并报送接入单位和用户基本信息及其变更情况; (二)是否制定并落实网络安全管理制度和操作规程,确定网络安全负责人; (三)是否依法采取记录并留存用户注册信息和上网日志信息的技术措施; (四)是否采取防范计算机病毒和网络攻击、网络侵入等技术措施; (五)是否在公共信息服务中对法律、行政法规禁止发布或者传输的信息依法采取相关防范措施; (六)是否按照法律规定的要求为公安机关依法维护国家安全、防范调查恐怖活动、侦查犯罪提供技术支持和协助; (七)是否履行法律、行政法规规定的网络安全等级保护等义务。
5. 网络安全等级保护2.0国家标准
等级保护2.0标准体系主要标准如下:1.网络安全等级保护条例2.计算机信息系统安全保护等级划分准则3.网络安全等级保护实施指南4.网络安全等级保护定级指南5.网络安全等级保护基本要求6.网络安全等级保护设计技术要求7.网络安全等级保护测评要求8.网络安全等级保护测评过程指南。第一级(自主保护级),等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益;第二级(指导保护级),等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全;第三级(监督保护级),等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生特别严重损害,或者对社会秩序和公共利益造成严重损害,或者对国家安全造成损害;第四级(强制保护级),等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害;第五级(专控保护级),等级保护对象受到破坏后,会对国家安全造成特别严重损害相较于1.0版本,2.0在内容上到底有哪些变化呢?1.0定级的对象是信息系统,2.0标准的定级的对象扩展至:基础信息网络、云计算平台、物联网、工业控制系统、使用移动互联技术的网络以及大数据平台等多个系统,覆盖面更广。再者,在系统遭到破坏后,对公民、法人和其他组织的合法权益造成特别严重损害的由原来的最高定为二级改为现在的最高可以定为三级。最后,等保2.0标准不再强调自主定级,而是强调合理定级,系统定级必须经过专家评审和主管部门审核,才能到公安机关备案,定级更加严格。总结通过建立安全技术体系和安全管理体系,构建具备相应等级安全保护能力的网络安全综合防御体系,开展组织管理、机制建设、安全规划、通报预警、应急处置、态势感知、能力建设、监督检查、技术检测、队伍建设、教育培训和经费保障等工作。法律依据:《中华人民共和国网络安全法》第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;(四)采取数据分类、重要数据备份和加密等措施;(五)法律、行政法规规定的其他义务。第三十一条国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。
6. 网络安全等级保护2.0国家标准
等级保护2.0标准体系主要标准如下:1.网络安全等级保护条例2.计算机信息系统安全保护等级划分准则3.网络安全等级保护实施指南4.网络安全等级保护定级指南5.网络安全等级保护基本要求6.网络安全等级保护设计技术要求7.网络安全等级保护测评要求8.网络安全等级保护测评过程指南。第一级(自主保护级),等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益;第二级(指导保护级),等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全;第三级(监督保护级),等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生特别严重损害,或者对社会秩序和公共利益造成严重损害,或者对国家安全造成损害;第四级(强制保护级),等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害;第五级(专控保护级),等级保护对象受到破坏后,会对国家安全造成特别严重损害相较于1.0版本,2.0在内容上到底有哪些变化呢?1.0定级的对象是信息系统,2.0标准的定级的对象扩展至:基础信息网络、云计算平台、物联网、工业控制系统、使用移动互联技术的网络以及大数据平台等多个系统,覆盖面更广。再者,在系统遭到破坏后,对公民、法人和其他组织的合法权益造成特别严重损害的由原来的最高定为二级改为现在的最高可以定为三级。最后,等保2.0标准不再强调自主定级,而是强调合理定级,系统定级必须经过专家评审和主管部门审核,才能到公安机关备案,定级更加严格。总结通过建立安全技术体系和安全管理体系,构建具备相应等级安全保护能力的网络安全综合防御体系,开展组织管理、机制建设、安全规划、通报预警、应急处置、态势感知、能力建设、监督检查、技术检测、队伍建设、教育培训和经费保障等工作。 法律依据:《中华人民共和国网络安全法》第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;(四)采取数据分类、重要数据备份和加密等措施;(五)法律、行政法规规定的其他义务。第三十一条国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。
7. 等级保护1.0和等级保护2.0区别及详解
等保起源于 国务院 的147号令,为响应国务院147号令, 公安部 第三研究所(专门管IT行业的公安研究所)开始着手信息安全标准的推进,随后出过一些指导性的国标,但都没有引起很多企业和单位的ICT建设参考。 随着近年来网络安全法和国家层面的安全指示国标变得越来越重要了,各个监管部门对安全的要求越来越大,而监管部门要求安全建设中遵循的标准大多都是等级保护; 国家网信办 和 公安部 都在主推等级保护,发现安全事件的单位没有落实等级保护肯定会被责令整改,甚至被处罚。 等级保护整变得越来越重要,越来越多的企业、政府部门、事业单位参与到等级保护标准的制定和执行中来,使得等级保护越来越完善,越来越合理。
等级保护1.0发布时间 :2008年 参考国标:GB/T 22239-2008 参与制定单位:公安部第三研究所、中国信息测评中心等 1.0技术部分:
缺点:仍有些不完善的地方,甚至有些要求不符合常理,导致单位和企业建设的成本过高。
等级保护2.0发布时间 :2019年 参考国标:GB/T 22239-2019 声明是取代2008年的指标,12月1日正式实行该标准,之前的标准自此更新为。 参与制定单位:公安部第三研究所、信息安全测评中心、华为、启明星辰、新华三、阿里云、
等保1.0参考《中关村信息安全测评联盟等级测评项目收费指导意见(试行)》
等级测评和年检等级越高花费的人力越大,所以收费越高。 实际上toB的商品和服务价格都是不透明的,但是能做测评的就当地两三家企业和单位,价格基本没得商量,而且当地测评中心基本都只给政府优先服务,不会先接私企的单;私有的拥有测评资质的企业往往会坐地起价。你跟他们销售谈5w就是5w,10w就是10w,降价基本是不可能,最多卖点安全服务给你提升满意度。 ps:测评机构可以卖服务但是不能卖自己公司产品的,这也就是安全厂商为什么拿不到测评资质的原因,因为卖自己公司产品就不能客观的做评测了。 等保2.0收费参考标准:
根据国泰君安的研究数据表明:目前市场上等保2.0测评服务为二级8万元,三级16万元,等保2.0咨询服务的价格为二级5万左右,三级8万~10万元(按9万计算)。
其实流程无所谓,只是个大致的过程;关键是【测评机构】的员工俗称《测评师》会去现场访谈,问你各种这个要求做了没有,能不能看下你做得对不对?随后会对你需要过等保的系统进行风险评估(不能有中高危漏洞才算合格,不合格就得继续整改到合格为止),最后把访谈内容和风险评估整理成报告提交到公安网监部门的系统上,网监复核后颁发等保备案证书才算过等保了。还有关于三级等保一年评测一次的说法都是测评机构自说自话并无相关标准和依据。
共分五级,通常做2级和3级(最好满二追三);由【测评机构】提交给【专家】定级,然后定级好后到公安部门进行备案,做四级等保的普通企业就BAT这种级别的。
市级政府事业单位app:定两级 市级政府事业单位网站:定两级 省级政府事业单位app:定三级 省级政府事业单位网站:定三级 p2p金融机构:定三级 普通企业网站:定两级 普通互联网企业网站:定三级 BAT之类的国民级互联网:定四级 国家级公开应用系统(如公安部、教育部):定五级
基本都定二级,因为相对外部危害较小。 国家级别的应用系统可能往三级定,这就需要公安三所和国测专家来判断了。 PS:定一级基本不用做太多整改,直接叫测评机构来就行,实际上也不会叫你定一级,起码两级起步。
三种安全控制点:(比如三级有一个到达3即可,如:G3S2A1、G2S3A1) 通用安全保护类要求(简记为 G) 数据安全保护类要求(简记为 S) 应用系统保护类要求(简记为 A)
PS:这是1.0的,2.0改成G对应该等级,A和S会根据企业情况变化;但必须有一个对应等级;也就是有两个对应等级。
数据中心定三级,备份数据中心要三级吗?
答案:不需要,只需要满足主干网络线路冗余、网络硬件冗余等四项要求即可
三级等保需要网闸吗?
答案:1.0需要,2.0不需要(更合理,减少不必要的开支)。
1.0和2.0多少分可以过等保?
答案:1.0需要60分以上(达到60%的指标),2.0需要75分以上,难度增加了很多;其实2.0的指标数变多了,达到一定比例的指标数就可以了。
一级等保需要采购什么?
二级等保需要采购什么?
三级等保需要采购什么?
8. 等级保护定级标准
法律分析:等保2.0将网络基础设施、重要信息系统、大型互联网站、大数据中心、云计算平台、物联网系统、工业控制系统、公众服务平台等全部纳入等级保护对象,并将风险评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处置、自主可控、供应链安全、效果评价、综治考核、安全员培训等工作措施全部纳入等级保护制度。 法律依据:《中华人民共和国国家安全法》 第一条 为了维护国家安全,保卫人民民主专政的政权和中国特色社会主义制度,保护人民的根本利益,保障改革开放和社会主义现代化建设的顺利进行,实现中华民族伟大复兴,根据宪法,制定本法。
最新文章
热门文章
推荐阅读