信息系统安全等级保护V2.0指引
发布时间:2022-11-23 15:56:41 所属栏目:安全 来源:
导读: 摘要:
等保检测标准即将进入2.0时代。为适应新技术的发展,解决云计算、物联网、移动互联和工控领域信息系统的等级保护工作的需要,由公安部牵头组织开展了信息技术新领域等级保护重点标准申报国家标准
等保检测标准即将进入2.0时代。为适应新技术的发展,解决云计算、物联网、移动互联和工控领域信息系统的等级保护工作的需要,由公安部牵头组织开展了信息技术新领域等级保护重点标准申报国家标准
|
摘要: 等保检测标准即将进入2.0时代。为适应新技术的发展,解决云计算、物联网、移动互联和工控领域信息系统的等级保护工作的需要,由公安部牵头组织开展了信息技术新领域等级保护重点标准申报国家标准的工作,等级保护正式进入2.0时代。等保2.0标准即将正式发布,整个信息安全行业需求将在2019年迎来重要的边际改善。下面小编为大家普及一下检测标准和相关准备要求细节,供大家参考学习。 【法规要求】 网络安全法》第二十一条规定:国家实行网络安全等级保护制度。 网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务——保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。 【主要内容】 网络安全法明确了等级保护工作的核心。 主要包括: (1)关键信息基础设施的定义: 第三十一条 国家公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。 (2)关键信息基础设施的安全保护义务 第三十四条 运营者设置专门机构和负责人、网络安全教育培训、容灾备份、应急预案和演练等。 第五十九条 运营者拒不改正或导致危害网络安全的,罚款10-100万元,直接责任人罚款1-10万元。 (3)敏感信息保存 第三十七条 境内收集产生的个人信息和重要数据应当在境内存储。确需向境外提供的,应进行安全评估。 第六十六条 运营者违反规定的,没收违法所得系统安全,罚款5-50万元,吊销执照,直接责任人罚款1-10万元。 (4)风险检测评估 第三十八条 运营者每年至少组织一次安全风险检测评估,并评估情况和改进措施报相关部门。 等保工作大致需要经过定级、备案、建设和整改、等级测评、检查五个步骤。其中最重要的环节就是信息系统安全等级测评,它用来验证信息系统能不能满足相应安全保护等级,包含安全控制测评和系统整体测评两个层次:由于信息安全等级保护要求不同安全等级的信息系统应该具有不同的安全保护能力,一方面通过在安全技术和安全管理上选用与安全等级相适应的控制措施来实现;另一方面这些不同的安全控制措施,共同作用于信息系统,使得信息系统的整体安全功能与信息系统的结构以及不同安全层级之间的关系密切相关。 【五级标准】 (1)第一级安全等级最低,只影响个人和组织内部。具体来说,第一级是指信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。这一等级由信息系统运营、使用单位依据国家有关管理规范和技术标准进行保护。 (2)第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。这一等级除了需要信息系统运营、使用单位依据国家有关管理规范和技术标准进行保护外,还需要国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。 (3)第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。 (4)第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。 (5)第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。 【主要涵盖领域】 1、政府机关; 2、银行、证券、保险等金融机构; 3、电信、邮政体系; 4、新闻、出版、广电单位; 5、电力、燃气、煤炭等能源组织; 6、航空、铁路、水路等运输企业; 7、国家重点工程建设单位; 8、重点科研、教育机构; 9、医疗、消费、应急等组织; 10、大型电商、P2P、支付、消费金融等大数据处理公司; 11、大型信息技术研发型企业; 【趋势】 1、国家为了推动信息安全等级体系,目前基本踏入安全实施年,从电信行业的网络信息安全等保工作截止到2019年底基本普及; 2、用户信息安全成为消费者最为关注的点,等级保护检测标准提升了运营的单位竞争能力,同时也为用户数据铤而走险的不法分子提升了犯罪成本; 3、未来2年,成为互联网企业及大数据企业的基本标配,提高了市场准入门槛; 【检测重点】 1、主机安全; 2、网络安全; 3、网络设备防护; 4、应用安全; 5、数据安全; 6、安全管理制度; 7、应急预案体系; 【检测流程】 1、在所属地公安网监部门进行备案登记; 2、进行专家评审取得备案号; 3、邀请检测单位进行等保检测; 4、取得等保备案证书; (编辑:海洋资讯信息网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐