信息安全技术网络安全等级保护基本要求(信息安全技术网络安全等级保护基本要求正式发布)
信息安全技术网络安全等级保护基本要求(信息安全技术网络安全等级保护基本要求正式发布)
等级保护2.0和1.0有什么区别?费用会变高吗?
平等安全2.0的评估范围更广。同等安全1.0主要针对信息系统。平等安全2.0包括基础信息建设设施、移动互联网、云计算、物联网等。只要评级在2级以上,就要进行同等安全评价。对于一些新技术领域,增加了新的扩展评估要求。无论哪个评估对象都必须通过一般安全要求和扩展安全要求。
安全1.0规定了五项强制行动,包括分级、备案、施工整改、评估和监督检查。安全2.0包括风险评估、安全监控、通知预警、案件调查、数据保护、灾难备份、应急响应、自控、供应链安全、效果评估、综评估等等。
等保2.0的评测要求比等保1.0更严格,所以建设成本会更高,评测成本也会更高。备受关注的网络安全等级保护系列新国标(新国标)于5月13日正式公布。据了解,新国标将等级保护的对象从信息系统扩展到网络基础设施、云计算平台、大数据平台、物联网、工业控制系统、使用移动互联网技术的系统等。
在5月13日国家市场监督管理总局、国家标准化管理委员会召开的新闻发布会上,发布了新修订的《信息安全技术网络安全等级保护基本要求》(以下简称《基本要求》)、《信息安全技术网络安全等级保护测评要求》(以下简称《测评要求》)、010-33000。
陈解读《信息安全技术网络安全等级保护安全设计技术要求》国家标准
据悉,《技术要求》、《信息安全技术 网络安全等级保护基本要求》、《基本要求》已广泛应用于各行业或领域,指导用户进行信息系统安全等级保护的建设整改和等级评估。但随着云计算、互联网、移动互联网、工业控制系统等新技术和新应用的出现,这三个标准亟待修订和完善。
公安部信息安全等级保护测评中心咨询服务部主任陈介绍,信息安全等级保护标准原国家标准的上位文件是2007年公安部、国家保密局、国家密码管理局、国务院新闻办公室颁布的《测评要求》。
为适应当前网络安全需求,等级保护由原来的“信息安全等级保护”变为“网络安全等级保护”,标志着实施10多年的信息安全等级保护体系进入了从1.0到2.0的新阶段。
陈说,“从2007年开始,十几年过去了,技术发展很快。所以我们对标准的修订是基于两点。一是新技术、新标准构建的云计算平台、物联网、大数据的出现,等级保护的内容和覆盖范围需要随时改变。二是《技术要求》的颁布,为等级保护标准的修订注入了一剂强心剂。”
同时,与同等安全1.0相比,本次新标准的保护对象由信息系统变为网络和信息系统,包括网络基础设施、云计算平台/系统、大数据平台/系统、物联网、工业控制系统、使用移动互联网技术的系统等。
相应的,每一级《信息安全等级保护管理办法》的基本要求由一般安全要求和安全扩展要求组成。除了“无论等级保护对象的形状如何,都必须满足”的一般安全要求外,对于云计算、移动互联网、物联网、工业控制系统还有特殊要求,称为安全扩展要求。
“新标准GB/T 22239-2019体现了全面防御、纵深防御、积极防御的思想,规定了一四级保护对象安全防护的基本要求。
什么是信息安全等级保护?什么是等保?
信息安全等级保护简称同等保护。
在中国,平等保险分为五个等级,独立分级、独立保障的原则
二是信息系统遭到破坏,将严重损害公民、法人和其他组织的法权益,或者社会秩序、公共利益,但不损害国家安全。国家信息安全监管部门对本级信息系统的安全等级保护进行指导。
第三,信息系统被破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。国家信息安全监管部门应当对本级信息系统的安全等级保护进行监督检查。
第四,信息系统被破坏后,会对社会秩序和公共利益造成特别严重的损害,或者对国家安全造成严重损害。国家信息安全监管部门应当对本级信息系统的安全等级保护实施强制监督检查。
第五,信息系统被破坏后,会对国家安全造成特别严重的损害。国家信息安全监管部门对信息系统安全保护水平进行专项监督检查。
为什么要等保险:
随着我国信息技术的快速发展,为维护国家安全和社会稳定,保障信息网络安全,国务院于1994年颁布了《网络安全法》(国务院令第147号)。根据规定,中国的“计算机信息系统应当受到安全等级保护”。
哪些行业需要做等保评估:
政府:主要部委、省级政府机构、地方和市级政府机构、机构等。
行业:金融监管机构、各大银行、证券、保险公司等。
电信业:主要电信运营商、省级电信公司
司、各地市电信公司、各类电信服务商等;能源行业:电力公司、石油公司、烟草公司;
企业单位:大中型企业、央企、上市公司等;
其它有信息系统定级需求的行业与单位。等级保护概念
根据信息系统应用业务重要程度及其实际安全需求,实行分级、分类、分阶段实施保护,保障信息安全和系统安全正常运行,维护国家利益、公共利益和社会稳定。 等级保护的核心是对信息系统特别是对业务应用系统安全分等级、按标准进行建设、管理和监督。国家对信息安全等级保护工作运用法律和技术规范逐级加强监管力度。突出重点,保障重要信息资源和重要信息系统的安全。
等级保护制度的主要内容
> 信息安全等级保护是指:对国家秘密信息、法人和其他组织及公民的专有信息、息分类分级进行管理和保护;对信息系统按业务安全应用域和区实行分级保护。
> 对系统中使用的信息安全产品实行按分级许可管理。
> 对等级系统的安全服务资质分级许可管理。
> 对信息系统中发生的信息安全事件分等级响应、处置。
为什么要搞等级保护?
> 保护业务安全应用。对信息安全分级保护是客观需求:信息系统的建立是为社会发展、社会生活的需要而设计、建立的,是社会构成、行政组织体系及其业务体系的反映,这种体系是分层次和级别的。因此,信息安全保护必须符客观存在。
> 等级化保护是信息安全发展规律:按组织业务应用区域、分层、分类、分级进行保护和管理,分阶段推进等级保护制度建设,这是做好国家信息安全保护必须遵循的客观规律。
楼上说的没错,信息安全等级保护与等保就是一回事,简称而已。信息安全等级保护与等保是一回事儿啊
公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导
等级保护制度是国家在国民经济和社会信息化的发展过程中,为了提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,所以要实行信息安全等级保护。
级别划分为五个级别:一级自主保护级、二级指导保护级、监督保护级、四级强制保护级和五级专项保护级。等级保护是我们国家的基本网络安全制度、基本国策,也是一套完整和完善的网络安全管理体系。遵循等级保护相关标准开始安全建设是目前企事业单位的普遍要求,也是国家关键信息基础措施保护的基本要求。
办理等级保护的原因:
1、通过等级保护工作发现单位信息系统存在的安全隐患和不足,进行安全整改之后,提高信息系统的信息安全防护能力,降低系统被各种攻击的风险,维护单位良好的形象。
2、等级保护是我国关于信息安全的基本政策,国家法律法规、相关政策制度要求单位开展等级保护工作。如《网络安全等级保护管理办法》和《中华人民共和国网络安全法》。
3、很多行业主管单位要求行业客户开展等级保护工作,目前已经下发行业要求文件的有:金融、电力、广电、医疗、教育等行业等。
4、落实个人及单位的网络安全保护义务,理规避风险。等级保护概念
根据信息系统应用业务重要程度及其实际安全需求,实行分级、分类、分阶段实施保护,保障信息安全和系统安全正常运行,维护国家利益、公共利益和社会稳定。 等级保护的核心是对信息系统特别是对业务应用系统安全分等级、按标准进行建设、管理和监督。国家对信息安全等级保护工作运用法律和技术规范逐级加强监管力度。突出重点,保障重要信息资源和重要信息系统的安全。
等级保护制度的主要内容
> 信息安全等级保护是指:对国家秘密信息、法人和其他组织及公民的专有信息、息分类分级进行管理和保护;对信息系统按业务安全应用域和区实行分级保护。
> 对系统中使用的信息安全产品实行按分级许可管理。
> 对等级系统的安全服务资质分级许可管理。
> 对信息系统中发生的信息安全事件分等级响应、处置。
为什么要搞等级保护?
> 保护业务安全应用。对信息安全分级保护是客观需求:信息系统的建立是为社会发展、社会生活的需要而设计、建立的,是社会构成、行政组织体系及其业务体系的反映,这种体系是分层次和级别的。因此,信息安全保护必须符客观存在。
> 等级化保护是信息安全发展规律:按组织业务应用区域、分层、分类、分级进行保护和管理,分阶段推进等级保护制度建设,这是做好国家信息安全保护必须遵循的客观规律。