全站搜索

等保云课堂(第1期)-网络安全等级保护基础概念

分类:行业资讯 212

信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。

2019年12月,网络安全等级保护2.0开始实施。网络安全等级保护制度已经在我国实施十余年,但很多人对它还是不理解,对其内容有不少误解。今天,我们就来分享几个网络安全等级保护基础知识点,快来一起get!

 

01   网络安全等级保护是什么

网络安全等级保护是国家网络安全保障的基本制度、基本策略、基本方法。开展网络安全等级保护工作是保护信息化发展、维护网络安全的根本保障,是网络安全保障工作中国家意志的体现。包含定级、备案、建设整改、等级测评、监督检查五个阶段。

 

02   网络安全等级保护实施的意义

● 合法要求:

满足合法合规要求,清晰化责任和工作方法,让安全贯穿全生命周期。

● 体系建设:

明确组织整体目标,改变以往单点防御方式,让安全建设更加体系化。

● 等级防护:

提高人员安全意识,树立等级化防护思想,合理分配网络安全投资。

 

03   等级保护的发展历程

1994  国务院147号令    第九条 计算机信息系统实行安全等级保护。

1999  GB 17859  计算机信息系统安全保护等级划分准则     

国家强制标准:计算机系统安全保护能力的五个级别:

         第一级:用户自主保护级;         

         第二级:系统审计保护级;

         第三级:安全标记保护级;

第四级:结构化保护级;

第五级:访问验证保护级。

 

2004  公通字[2004]66号   关于信息安全等级保护工作的实施意见

2007  公通字[2007]43号   信息安全等级保护管理办法

2008  GB/T  22239 -2008   信息系统安全等级保护基本要求

          GB/T 22240-2008    信息系统安全保护等级定级指南

2012   GB/T 28448 -2012    信息系统安全等级保护测评要求

           GB/T 28449 -2012     信息系统安全等级保护测评过程指南

2013   等级保护标准修订      等级保护3大标准:基本要求、测评要求、设计要求

2014   原等级保护相关标准扩展    适应新应用、新技术的等级保护工作

2017   中华人民共和国网络安全法     等级保护有法可依

2019   网络安全等级保护系列标准正式实施

           信息安全技术网络安全等级保护基本要求(GB/T 22239-2019)

           信息安全技术网络安全等级保护安全设计技术要求(GB/T 25070-2019)

           信息安全技术网络安全等级保护测评要求(GB/T 28448-2019)

 

04   等级保护2.0的诞生

随着物联网、大数据、云计算等新兴产业的发展,原有的等级保护1.0已经明显无法完全满足网络和信息安全的发展,等级保护2.0随之诞生。

等保2.0在继承了等保1.0基本架构之外,引入符合当下技术形式(云大物移+工业互联网)和顺应安全防护模式(被动到主动、静态到动态,层层防护到纵深防御)的特征,对原有标准进行修订,形成了有法可依,保护对象全面覆盖的“等保2.0”。

 

05   哪些行业需要进行等级保护测评

政府机关:各大部委、各省级政府机关、各地市级政府机关、各事业单位等

金融行业:金融监管机构、各大银行、证券、保险公司等

电信行业:各大电信运营商、各省电信公司、各地市电信公司、各类电信服务商等

能源行业:电力公司、石油公司、烟草公司

企业单位:大中型企业、央企、上市公司等

其他行业:医疗、教育、交通等

其它有信息系统定级需求(网站、APP、内网等)的行业与单位

 

请注意

不落实网络安全等级保护制度是违法行为,可能面临“责令改正,给予警告;罚款;暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照”等处罚;构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任(有期徒刑、拘役或者管制,并处或者单处罚金)。

了解以上几个基本的知识点,将有助于我们进一步了解什么是网络安全等级保护

下期,我们将分享什么内容呢

敬请期待…

上一篇: 下一篇: