等保1.0和等保2.0、新技术新业务的学习(一)

等保1.0

标准全称:《GBT22239-2008 信息安全技术 信息系统安全等级保护基本要求》
1、受众群体:信息系统
2、引用了17859《计算机信息系统安全保护等级划分准则》
3、分成五级保护能力
4、基本安全要求分为基本技术要求+基本管理要求

  • 基本技术要求:
    • 物理安全
    • 网络安全
    • 主机安全
    • 应用安全
    • 数据安全
  • 基本管理要求:
    • 安全管理制度
    • 安全管理机构
    • 人员安全管理
    • 系统建设管理
    • 系统运维管理

5、基本技术要求三种类型SAG

  • S信息安全类
  • A服务保证类
  • G通用安全保护类

等保1.0和等保2.0的学习

等保2.0标准全称:《GBT22239-2019 信息安全技术 网络安全等级保护基本要求》

等保1.0和2.0的等级保护对象:
网络基础设施、信息系统、大数据、物联网云平台、工控系统、移动互联网、智能设备等。

等保1.0和等保2.0的内容:
等保1.0:安全要求
等保2.0:安全通用要求和安全扩展要求

等保的基本要求、、测评要求、设计技术要求统一框架,构建“一个中心、三重防

《网络安全法》第五十九条规定:网络运营者不履行义务的:由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
关键信息基础设施的运营者不履行义务的 :由有关主管部门责令改正,给予警告
拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。

重点:用户单位不做等级保护测评,用户单位需要被罚款1万-100万;主管人员需要被罚款5000-100000。

新技术新业务跟之前的风险评估的区别:

①评估对象不同
新技术新业务的评估对象主要为互联网站、应用程序、论坛博客、微博、搜索引擎、即时通信工具、新闻舆论应用、社会动员功能应用等消息传递媒体。
而风险评估的评估对象范围更大,包括电信网和互联网相关系统资产。
新技术新业务相比来说,更加细节化,具体化。

②评估方式的不同
新技术新业务的评估方式主要为具体规划至文档审查、人员访谈、现场查验、演示查验、测评核验。
而风险评估主要是资产识别、威胁识别、脆弱性识别以及已有安全措施识别。
问卷调查和现场面谈。

③之前的评估内容大多集中在网络、系统和应用软件。
而新技术新业务主要针对互联网发展的业务、技术,更多的是数据安全。

两者的准备情况是差不多的。

等保1.0和新技术新业务

等保1.0的基本技术要求是物理安全、网络安全、主机安全、应用安全、数据安全
新技术新业务的风险评估模型为业务应用安全、业务平台安全、业务运行安全和数据安全。

你可能感兴趣的:(等保1.0和等保2.0、新技术新业务的学习(一))