网络安全等级保护概述

文章目录

  • 网络安全等级保护概述
    • 一、等级保护的定义
    • 一、等级保护相关的法律法规
      • 1.国外对网络信息安全的对策
      • 2.国内对网络信息安全的对策
    • 二、等级保护相关的政策体系
    • 三、等级保护建设的重要性
      • 1.从国家层面
      • 2.从企业层面
    • 四、等级保护制定的标准历程
    • 五、监管机构的分工
    • 六、等保标准
      • 1.基础类
      • 2.应用类
      • 3.管理类
      • 4. 技术类
      • 5.其他类
      • 6.行业标准

网络安全等级保护概述

一、等级保护的定义

信息安全等级保护是国家信息安全保障工作的基本制度,基本策略,基本方法。
等级保护的核心是对信息系统特别是对业务应用系统安全分等级,按
标准进行建设,管理,监督。

一、等级保护相关的法律法规

1.国外对网络信息安全的对策

据统计,世界上有90多个国家制定了专门的法律保护网络安全。分析来看,在管控手段方面,有的国家通过专门的国内立法进行管制,如美国、澳大利亚、新加坡、印度等;有的国家则积极开展公私合作,推动互联网业界的行业自律以实现网络管制,如英国。在管控对象方面,主要涵盖关键基础设施的安全、网络信息安全和打击网络犯罪等方面。
美国:《全球电子商务框架》、《2001年爱国者法案》、《2002年国土安全法》、《2002年联邦信息安全管理法》、《2005年个人数据隐私与安全法》《2010年网络安全法案》、《2010年网络安全加强法案》、《国家网络基础设施保护法案2010》、《网络空间作为国有资产保护法案2010》

欧盟:欧盟颁布了《数据保留指令》、欧洲网络与信息安全局发布《国家网络安全策略——为加强网络空间安全的国家努力设定线路》

英国:《通信监控权法》、《调查权管理法》、《紧急通信与互联网数据保留法案》、《战略防务与安全审查——“在不确定的时代下建立一个安全的英国”》、《网络安全战略》

澳大利亚:《电信传输法》、《反垃圾邮件法》、《数字保护法》、《信息安全手册》、《国家信息安全战略》

日本:《日本网络安全战略》、《网络安全基本法》、对《刑法》修正

新加坡:《国内安全法》、《个人信息保护法》、《垃圾邮件控制法》、《网络行为法》、《广播法》、《互联网操作规则》、《行业内容操作守则》

印度:《信息技术法》

2.国内对网络信息安全的对策

1994年,国务院发布了《中华人民共和国计算机信息系统安全保护条例》(国务院第1994年147号令),该条例是计算机信息系统安全保护的法律基础。“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定” 。

2003年7月,国务院信息化领导小组第三次会议讨论通过并于9月由中央办公厅、国务院办公厅转发了《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27 号),第一次把信息安全提到了促进经济发展、维护社会稳定、保障国家安全、加强精神文明建设的高度。“实行信息安全等级保护”。 “要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南” 。

2004年7月,公安部、国家保密局、国密办以及国信办联合下发《关于信息安全等级保护工作的实施意见》(公通字[2004]66号),进一步明确了信息安全等级保护制度的主要工作方向和工作内容。

2007年7月,公安部、国家保密局、国密办以及国信办再次联合下发《信息安全等级保护管理办法》(公通字[2007]43号),进一步推进信息安全等级保护,规范信息安全等级保护管理。

2009年4月,广东省公安厅、省国家保密局、省密码管理局、省信息化工作领导小组办公室联合下发《广东省深化信息安全等级保护工作方案》(粤公通字[2009]45号),要求“通过深化信息安全等级保护,全面推动重要信息系统安全整改和测评工作。”

2010年3月,广东省信息安全等级保护协调小组办公室下发《关于开展信息系统等级保护整改和测评工作的通知》,提出“为进一步推动我省信息安全等级保护,提高信息系统安全保护能力,组织开展信息系统安全整改和测评工作。”,要求“一、高度重视,落实保障。二、明确测评机构管理要求。三、组织开展年度测评。四、完成系统整改和验收测评。”,并开展“组织对各单位信息系统年度测评、安全整改、验收测评以及安全保护状况进行监督检查。”

2011年3月,广东省公安厅网络警察总队下发《关于继续深化我省信息安全等级保护工作的通知(广公(网安)[2011]61号)》

2012年4月,广东省信息安全等级保护协调小组办公室下发《关于2012年推动信息安全等级保护有关问题的通知(粤等保办[2012]8号)》。

2013年4月,广东省信息安全等级保护协调小组办公室下发《关于贯彻落实十八大精神深化信息安全等级保护工作的通知(粤等保办[2013]4号)》。

2017年6月,《中华人民共和国网络安全法》正式实行,明确提出“国家实行网络安全等级保护制度”的要求。

二、等级保护相关的政策体系

网络安全等级保护概述_第1张图片

三、等级保护建设的重要性

1.从国家层面

实施信息安全等级保护,可以有效地提高我国信息安全建设的整体水平;

有利于在信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设相协调;

有利于加强对涉及国家安全、经济秩序、社会稳定和公共利益的信息系统的安全保护和管理监督;

有利于明确国家、法人和其他组织、公民的安全责任,强化政府监管职能,共同落实各项安全建设和安全管理措施;

有利于提高安全保护的科学性、整体性、针对性,推动信息安全产业水平,逐步探索适应社会主义市场经济发展的信息安全发展模式。

2.从企业层面

企业按照国家有关等级保护的管理规范和技术标准开展等级保护工作,建设安全设施、建立安全制度、落实安全责任,接受公安机关、保密部门、国家密码工作部门对信息安全等级保护工作的监督、指导,保障信息系统安全。依照等保的要求,企业就能够应对威胁,即使遇到威胁,也能够在一定时间内恢复信息系统原有状态。
例如,企业如果具备了第三级信息系统安全保护能力就能够在统一安全策略下防护系统免受来自外部有组织的团体(如,一个商业情报组织或犯罪组织等),拥有较为丰富资源(包括人员能力、计算能力等)的威胁源发起的恶意攻击、较为严重的自然灾难(灾难发生的强度较大、持续时间较长、覆盖范围较广等)以及其他相当危害程度的威胁(内部人员的恶意威胁、无意失误、较严重的技术故障等)所造成的主要资源损害,能够发现安全漏洞和安全事件,在系统遭到损害后,能够较快恢复绝大部分功能。

四、等级保护制定的标准历程

网络安全等级保护概述_第2张图片

五、监管机构的分工

《信息安全等级保护管理办法》明确了监管部门的职责:

公安机关是等级保护工作的牵头部门,承担着信息安全等级保护工作的监督、检查、指导;
国家保密工作部门、国家密码管理部门负责等级保护工作中有关
保密工作和密码工作的监督、检查、指导;
国信办及地方信息化领导小组办事机构负责等级保护工作部门间的协调。
其中,涉及国家秘密信息系统的等级保护监督管理工作由国家保密工作部门负责;
非涉及国家秘密信息系统的等级保护监督管理工作由公安机关负责。

六、等保标准

1.基础类

《信息安全等级保护管理办法》公通字[2007]43号
《计算机信息系统安全保护等级划分准则》GB 17859-1999
《信息系统安全等级保护实施指南》GB/T 25058-2010

2.应用类

定级:《信息系统安全保护等级定级指南》GB/T 22240-2008
建设:《信息系统安全等级保护基本要求》GB/T 22239-2008
《信息系统通用安全技术要求》GB/T 20271-2006
《信息系统等级保护安全设计技术要求》GB/T 25070-2010
测评:《信息系统安全等级保护测评要求》GB/T 28448-2012
《信息系统安全等级保护测评过程指南》GB/T 28449-2012

3.管理类

《信息系统安全管理要求》GB/T 20269-2006
《信息系统安全工程管理要求》GB/T 20282-2006

4. 技术类

GB/T 21052-2007 信息安全技术 信息系统物理安全技术要求
GB/T 20270-2006 信息安全技术 网络基础安全技术要求
GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求
GB/T 20272-2006 信息安全技术 操作系统安全技术要求
GB/T 20273-2006 信息安全技术 数据库管理系统安全技术要求
GA/T 671-2006 信息安全技术 终端计算机系统安全等级技术要求

5.其他类

GB/T 20984-2007 信息安全技术 信息安全风险评估规范
GB/T 20285-2007 信息安全技术 信息安全事件管理指南
GB/Z 20986-2007 信息安全技术 信息安全事件分类分级指南
GB/T 20988-2007 信息安全技术 信息系统灾难恢复规范
GB/T 24363-2009 信息安全技术 信息安全应急响应计划规范

6.行业标准

证券期货业信息系统安全等级保护基本要求JR/T 0060-2010
金融行业信息系统信息安全等级保护实施指引-JR/T 0071—2012
金融行业信息系统信息安全等级保护测评指南-JR/T 0072—2012
烟草行业信息系统安全等级保护实施规范YC/T 495-2014
教育行业信息系统安全等级保护定级指南
交通运输行业信息系统安全等级保护定级指南JT/T 904-2014
电力行业信息系统安全等级保护基本要求(电监会2012年11月)

你可能感兴趣的:(网络安全等级保护测评概述,安全)