A. 什麼是等保2.0
等保2.0是什麼?
等保2.0是等保1.0的升級,也就是網路安全等級保護。目前我國將全國的信息系統(包括網路)按照信息系統的業務信息和系統服務被破壞後,對受侵害客體的侵害程度分成五個安全保護等級。
等保2.0什麼時候開始實施的?
2019年5月13日,國家市場監督管理總局召開新聞發布會,正式發布《信息安全技術網路安全等級保護基本要求》2.0版本,等保2.0於2019年12月1日正式實施。等保2.0的實施,是我國實行網路安全等級保護制度過程中的一件大事,具有里程碑意義。
等保2.0四大特點簡單介紹
01、等級保護2.0新標准將對象范圍由原來的信息系統改為等級保護對象(信息系統、通信網路設施和數據資源等)。等級保護對象包括網路基礎設施(廣電網、電信網、專用通信網路等)、雲計算平台/系統、大數據平台/系統、物聯網、工業控制 系統、採用移動互聯技術的系統等。
02、等級保護2.0新標准在1.0標準的基礎上進行了優化,同時針對雲計算、移動互聯、物聯網、工業控制系統及大數據等新技術和新應用領域提出新要求,形成了安全通用要求+新應用安全擴展要求構成的標准要求內容。
03、等級保護2.0新標准統一了《GB/T 22239-2019》、《GB/T 25070-2019》和《GB/T28448-2019》三個標準的架構,採用了「一個中心,三重防護」的防護理念和分類結構,強化了建立縱深防禦和精細防禦體系的思想。
04、等級保護2.0新標准強化了密碼技術和可信計算技術的使用,把可信驗證列入各個級別並逐級提出各個環節的主要可信驗證要求,強調通過密碼技術、可信驗證、安全審計和態勢感知等建立主動防禦體系的期望。
B. 論述我國信息安全等級保護制度
等級保護是我們國家的基本網路安全制度、基本國策,也是一套完整和完善的網路安全管理體系。遵循等級保護相關標准開始安全建設是目前企事業單位的普遍要求,也是國家關鍵信息基礎措施保護的基本要求。
信息系統的安全保護等級分為以下五級:
第一級,信息系統受到破壞後,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益。第一級信息系統運營、使用單位應當依據國家有關管理規范和技術標准進行保護。
第二級,信息系統受到破壞後,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。國家信息安全監管部門對該級信息系統安全等級保護工作進行指導。
第三級,信息系統受到破壞後,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。國家信息安全監管部門對該級信息系統安全等級保護工作進行監督、檢查。第四級,信息系統受到破壞後,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。國家信息安全監管部門對該級信息系統安全等級保護工作進行強制監督、檢查。
第五級,信息系統受到破壞後,會對國家安全造成特別嚴重損害。國家信息安全監管部門對該級信息系統安全等級保護工作進行專門監督、檢查。
網路安全等級保護備案辦理流程:
一步:定級;(定級是等級保護的首要環節)
二步:備案;(備案是等級保護的核心)
三步:建設整改;(建設整改是等級保護工作落實的關鍵)
四步:等級測評;(等級測評是評價安全保護狀況的方法)
五步:監督檢查。(監督檢查是保護能力不斷提高的保障)
證書案例
C. 網路安全等級保護2.0什麼時候實施,相比1.0有哪些變化
以下資料來源等保測評機構——時代新威官網。如還有更多疑問請官網查看。
等保2.0相比1.0主要有四大方面的變化:
(1) 名稱上的變化
名稱上由「信息系統安全等級保護」轉變為「網路安全等級保護」。
(2) 法律效力不同
《網路安全法》第21條規定「國家實行網路安全等級保護制度,要求網路運營者應當按照網路安全等級保護制度要求,履行安全保護義務」。落實網路安全等級保護制度上升為法律義務。
(3)保護對象有擴展
等保1.0主要是信息系統。而等保2.0將網路基礎設施(廣電網、電信網、專用通信網路等)、雲計算平台/系統、採用移動互聯技術的系統、物聯網、工業控制系統等納入到等級保護對象范圍中。
(4) 控制措施分類不同
等保1.0按照技術和管理各5個方面的要求進行分類,技術要求分為物理安全、網路安全、主機安全、應用安全、數據安全及備份恢復,管理要求分為安全管理制度、安全管理機構、人員安全管理、系統建設管理和系統運維管理。
等保2.0則有很大的變化。技術要求分為安全物理環境、安全通信網路、安全區域邊界、安全計算環境、安全管理中心,管理要求分為安全管理制度、安全管理機構、安全人員管理、安全建設管理和安全運維管理。此外,等保2.0基本要求、測評要求、安全設計技術要求框架保持了一致性,即「一個中心,三重防護」。
(5) 內容進行了擴充
等保1.0有五個規定性動作,包括定級、備案、建設整改、等級測評和監督檢查。而等保2.0除了定級、備案、建設整改、等級測評和監督檢查之外,增加了風險評估、安全監測、通報預警、案事件調查、數據防護、災難備份、應急處置等。
D. 國家信息安全等級保護制度 的內容是什麼謝謝
國家信息安全等級保護制度分為五個階段:
第一級,信息系統受到破壞後,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益。
第二級,信息系統受到破壞後,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。
第三級,信息系統受到破壞後,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。
第四級,信息系統受到破壞後,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。
第五級,信息系統受到破壞後,會對國家安全造成特別嚴重損害。
企業辦理等級保護的原因是:
1、通過等級保護工作發現單位信息系統存在的安全隱患和不足,進行安全整改之後,提高信息系統的信息安全防護能力,降低系統被各種攻擊的風險,維護單位良好的形象。
2、等級保護是我國關於信息安全的基本政策,國家法律法規、相關政策制度要求單位開展等級保護工作。如《網路安全等級保護管理辦法》和《中華人民共和國網路安全法》。
3、很多行業主管單位要求行業客戶開展等級保護工作,目前已經下發行業要求文件的有:金融、電力、廣電、醫療、教育等行業等。
4、落實個人及單位的網路安全保護義務,合理規避風險。
E. 信息網路安全的什麼是信息系統安全等級保護
等級保護是我們國家的基本網路安全制度、基本國策,也是一套完整和完善的網路安全管理體系。遵循等級保護相關標准開始安全建設是目前企事業單位的普遍要求,也是國家關鍵信息基礎措施保護的基本要求。
信息系統的安全保護等級分為以下五級:
第一級,信息系統受到破壞後,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益。第一級信息系統運營、使用單位應當依據國家有關管理規范和技術標准進行保護。
第二級,信息系統受到破壞後,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。國家信息安全監管部門對該級信息系統安全等級保護工作進行指導。
第三級,信息系統受到破壞後,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。國家信息安全監管部門對該級信息系統安全等級保護工作進行監督、檢查。第四級,信息系統受到破壞後,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。國家信息安全監管部門對該級信息系統安全等級保護工作進行強制監督、檢查。
第五級,信息系統受到破壞後,會對國家安全造成特別嚴重損害。國家信息安全監管部門對該級信息系統安全等級保護工作進行專門監督、檢查。
網路安全等級保護備案辦理流程:
一步:定級;(定級是等級保護的首要環節)
二步:備案;(備案是等級保護的核心)
三步:建設整改;(建設整改是等級保護工作落實的關鍵)
四步:等級測評;(等級測評是評價安全保護狀況的方法)
五步:監督檢查。(監督檢查是保護能力不斷提高的保障)
證書案例
F. 信息安全等級保護的實施原則
等級保護是我們國家的基本網路安全制度、基本國策,也是一套完整和完善的網路安全管理體系。遵循等級保護相關標准開始安全建設是目前企事業單位的普遍要求,也是國家關鍵信息基礎措施保護的基本要求。
為什麼要辦理網路安全等級保護備案?
1.建立有效的網路安全防禦體系(讓客戶的系統真正具有安全防禦的能力)
2. 完成信息系統等級保護公安備案(取得備案證明) ,順利通過網路安全等級保護測評(取得測評報告)
3 滿足相關部門的合規性要求(包括國家的政策,法律法規的要求,還有上級部門的要求,還有甲方客戶的要求等)
4. 系統過了等保,一定程度上可以提高企業投標鎖標的能力,為投標加分
信息系統的安全保護等級分為以下五級:
第一級,信息系統受到破壞後,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益。第一級信息系統運營、使用單位應當依據國家有關管理規范和技術標准進行保護。
第二級,信息系統受到破壞後,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。國家信息安全監管部門對該級信息系統安全等級保護工作進行指導。
第三級,信息系統受到破壞後,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。國家信息安全監管部門對該級信息系統安全等級保護工作進行監督、檢查。第四級,信息系統受到破壞後,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。國家信息安全監管部門對該級信息系統安全等級保護工作進行強制監督、檢查。
第五級,信息系統受到破壞後,會對國家安全造成特別嚴重損害。國家信息安全監管部門對該級信息系統安全等級保護工作進行專門監督、檢查。
網路安全等級保護備案辦理流程:
一步:定級;(定級是等級保護的首要環節)
二步:備案;(備案是等級保護的核心)
三步:建設整改;(建設整改是等級保護工作落實的關鍵)
四步:等級測評;(等級測評是評價安全保護狀況的方法)
五步:監督檢查。(監督檢查是保護能力不斷提高的保障)
證書案例
G. 為什麼要做等級保護
主要有以下幾個原因:
第一、開展等保的最重要原因是為了通過等級保護測評工作,發現單位系統內、外部存在的安全風險和脆弱性,通過整改之後,提高信息系統的信息安全防護能力,降低系統被各種攻擊的風險。一般用戶單位內部系統較多,用途不一樣,受眾群體和使用用戶也不一樣,那我們就需要通過等級保護去梳理和分析我們現有的信息系統,將不同系統分不同重要等級進行分等級保護,這就是等保的定級工作。
梳理出了不同等級的系統後,我們就要對不同系統進行不同等級的安全防護建設,保證重要的信息系統在有攻擊的情況下能夠很好地抵禦攻擊或者被攻擊後能夠快速的恢復應用,不造成重大損失或影響。
第二、等級保護是我國關於信息安全的基本政策,《國家信息化領導小組關於加強信息安全保障工作的意見》(中辦發[2003]27 號,以下簡稱「27 號文件」)明確要求我國信息安全保障工作實行等級保護制度,提出「抓緊建立信息安全等級保護制度,制定信息安全等級保護的管理辦法和技術指南」。2007年6月發布的關於印發《信息安全等級保護管理辦法》的通知(公通字[2007]43 號,以下簡稱「43號文件」)規定了實施信息安全等級保護制度的原則、內容、職責分工、基本要求和實施計劃,部署了實施信息安全等級保護工作的操作辦法。
2016年11月7日第十二屆全國人民代表大會常務委員會第二十四次會議通過《中華人民共和國網路安全法》,網路安全法第二十一條明確規定:國家實行網路安全等級保護制度。網路運營者應當按照網路安全等級保護制度的要求,履行下列安全保護義務,保障網路免受干擾、破壞或者未經授權的訪問,防止網路數據泄露或者被竊取、篡改。
簡單總結下就是國家法律法規、相關政策制度要求我們去開展等級保護工作,不做就不合規,就違法。
第三、很多行業主管單位要求行業客戶開展等級保護工作,目前已經下發行業要求文件的有:金融、電力、廣電、醫療、教育等行業,還有一些主管單位發過相關文件或通知要求去做。另外信息安全主管單位要求我們去開展等級保護工作,主要有:公安、網信辦、經信委、通管局等行業主管單位。
所以不做等保的話,沒法向相關主管單位和行業領導們交待。
第四、合理地規避風險。每年都會出現一些大的信息安全事件,我們日常經常聽到或看到的有,某某網站網頁被篡改了,用戶敏感信息被泄露了,更多的一些小范圍安全事件我們不清楚,但是在發生。那麼發生比較大的安全事件,首先主管單位們要去現場調查,首先就會看我們到底有沒開展等級保護工作,那麼如果你沒有,最直接的一個結論就是你的信息安全工作沒有開展好,沒有開展到位,國家最基本的信息安全等級保護工作都沒做,你說你買了很多防火牆,很多安全設備,那都是說不清道不明的,不如你實實在在拿出備案證明,拿出測評報告說服力強。出了問題難免就會被通報批評,被勒令下線整改,那麼開展了等級保護工作和沒有開展等級保護工作被通報的內容就顯然不同了,這里就不展開了,只可意會不可言傳。最簡單的例子:一個主觀上重視安全工作但是因為技術還不夠好而被攻擊造成破壞和一個主觀上都不重視安全工作被攻擊造成破壞的情況,孰輕孰重,一目瞭然。但是怎麼叫主觀上重視呢?等保工作有沒有開展就是衡量的一個重要標准,因為等級保護是國家基本信息安全制度要求。
H. 有沒有詳細的網路安全等級保護流程介紹謝謝了。
開展網路安全等級保護工作的五個規定基本動作:定級、備案、建設整改、等級測評、監督檢查。具體細節:
定級階段:
網路運營者確定等級保護對象,明確定級對象,梳理等級保護對象受到破壞時所侵害的客體及對客體造成侵害的程度。
備案階段:
第二級及以上網路運營者在定級、撤銷或變更調整網路安全保護等級時,在明確安全保護等級後需在10個工作日內,到縣級以上機關備案,提交相關材料。
建設整改階段:
安全建設整改工作分五步進行:
落實安全建設整改工作部門,建設整改工作規劃,進行總體部署;
確定網路安全建設需求並論證;
確定安全防護策略,制定網路安全建設整改方案
根據網路安全建設整改方案,實施安全建設工程;
開展安全自查和等級測評,及時發現安全風險及安全問題,進一步開展整改。
注意:全國各地區政策不一樣,以實際情況為准。
等級測評階段:
網路安全等級保護測評過程分為4個基本活動:測評准備活動、方案編制活動、現場測評活動、分析及報告編制活動。
監督檢查階段:
每年至少開展一次安全檢查,涉及相關行業的可以會同其行業主管部門開展安全檢查。必要時,機關可以委託社會力量提供技術支持。
以上都是摘自時代新威官網,裡面等保干貨非常多,解釋更加規范、准確。
I. 求專業的網路安全等級保護測評機構介紹有沒有好的建議
目前網路安全等級保護測評機構在全國數量並不是很多,僅有211家,其中我就對1家印象尤其深刻,來自北京等保測評機構,時代新威。
原因有三點:1、最近由時代新威組織發布了國際上第一本關於網路安全等級保護制度的英文書籍《中國網路安全等級保護制度理解與實施》英文版,這本書系統性地分析了中國的網路安全等級保護工作,解讀網路安全相關法律法規,梳理網路安全等級保護工作的有關政策、標准,並對等級保護具體實施環節進行了詳細說明,旨在為華外資企業、一帶一路沿線國家有關企業,及時響應中國網路安全政策,開展網路安全等級保護工作提供借鑒。真的是為國爭光!
2、時代新威自主研發了我國唯一的「CISP-A國家注冊信息系統審計師」認證課程。
3、這家資質非常硬,2003年成立,目前是公安部批準的網路安全等級保護測評機構(證書編號:DJCP2019110192),也是全國信息安全標准化技術委員會委員單位、國際網路安全標准化技術委員會ISO/IEC JTC1/SC27專家成員單位。
總之時代新威作為等級保護安全建設服務機構,充分參與了我國網路安全等級保護制度的建立和實施,深入研究和掌握風險管理理論、等級保護理論、信息安全管理體系理論、三道防線理論,並不斷將這些理論應用於等級保護、IT審計服務、網路安全咨詢服務的實踐中,在教育、金融、能源、電信等關鍵信息基礎設施領域有豐富的實踐經驗。
J. 什麼是網路安全等級保護
等級保護是我們國家的基本網路安全制度、基本國策,也是一套完整和完善的網路安全管理體系。遵循等級保護相關標准開始安全建設是目前企事業單位的普遍要求,也是國家關鍵信息基礎措施保護的基本要求。
網路安全等級保護辦理流程是:
一步:定級;(定級是等級保護的首要環節)
二步:備案;(備案是等級保護的核心)
三步:建設整改;(建設整改是等級保護工作落實的關鍵)
四步:等級測評;(等級測評是評價安全保護狀況的方法)
五步:監督檢查。(監督檢查是保護能力不斷提高的保障)
網路安全等級保護備案共分為五級:
① 第一級,等級保護對象受到破壞後,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益;
② 第二級,等級保護對象受到破壞後,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全;
③ 第三級,等級保護對象受到破壞後,會對公民、法人和其他組織的合法權益產生特別嚴重損害,或者對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害;
④ 第四級,等級保護對象受到破壞後,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害;
⑤ 第五級,等級保護對象受到破壞後,會對國家安全造成特別嚴重損害。
證書案例