等保(网络安全等级保护)2.0与定级备案之——等保介绍

等保介绍

等保发展历程

1994
国务院147号令
第一次提出等级保护概念,要求对信息系统分等级进行保护

1999
GB17859
国家强制标准发布,信息系统等级保护必须遵循的法规

2005
公安部四大标准
基本要求》 《定级指南》《实施指南》 《测评标准》

2007
公通字[2007]43号
等级保护管理办法发布,明确如何建设、如何监管以及如何选择服务商等

2015
工作要点
中央网信领导小组2015年工作要求、落实国家信息安全等级保护制度

2017
《网络安全法》
第二十一条“国家实行网络安全等级保护制度”。该法是深化网络安全等级保护制度重要举措,2017年6月1日起施行。

2019
《信息安全技术网络安全等级保护基本要求》
等保2.0在2019年12月1日正式实施

为什么要做等级保护——免责

做了,出事,是天灾(没有绝对的安全),不做出事,是人祸
注意,渗透测试只是等保的一小块

责任更清晰

完成等保测评意味着公安机关认可你的安全现状,一旦发生安全事件是意外。如果没有进行等级保护测评意味着你没有达到国家要求,一旦发生安全事件,用户单位将承担主要责任,网监部门会直接进行比较严厉的处罚。

安全建设体系化(自身安全预防)

以等级保护为标准开展安全建设,可以让单位自身安全建设更加体系化,可以从物理、网络、主机、应用和数据多个方面成体系的进行安全建设,再也不是头痛医头脚痛医脚,对本单位的安全建设有整体的规划和思路。

如何做等级保护-相关标准

基础类

《计算机信息系统安全保护等级划分准则》GB 17859-1999
《信息系统安全等级保护实施指南》 GB/T25058-2010

应用类

定级:《信息系统安全保护等级定级指南》GB/T 22240-2008
建设:《信息系统安全等级保护基本要求》GB/T 22239-2008
《信息系统通用安全技术要求》GB/T 20271-2006
《信息系统等级保护安全设计技术要求》

测评:《信息系统安全等级保护测评要求》 GB/T28448-2012
《信息系统安全等级保护测评过程指南》 GB/T28449-2012

管理:《信息系统安全管理要求》GB/T 20269-2006
《信息系统安全工程管理要求》GB/T 20282-2006

等级保护建设中的角色

首先是公安部门老大哥

测评机构可以在等保网站查询
一到三级都是测评机构做,四五级都是公安做

用户单位就是我们常说的甲方

厂商
卖设备,提供修改 ,升级服务

互相之间不能涉及对方业务

等级保护工作大概流程

定级备案 差距评估 整改建设 等级测评

你可能感兴趣的:(#+,等级安全)