信息安全技术网络安全等级保护基本要求

《 信息安全技术网络安全等级保护基本要求》解读

标准的修订背景

总体的结构变化

描述模型和主要特点

安全通用要求的内容

通俗讲等级保护是什么？

信息安全等级保护是指对国家秘密信息、法人和其他 组织及公民的专有信息以及公开信息和存储、传输、处理 这些信息的信息系统分等级实行安全保护，对信息系统中 使用的信息安全产品实行按等级管理，对信息系统中发生 的信息安全事件分等级响应、处置。

等级保护2.0-法律依据-网络安全法

第二十一条　国家实行网络安全等级保护制度。网络运营者应当按照网络安 全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏 或者未经授权的访问，防止网络数据泄露或者被窃取、篡改；
1.制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安 全保护责任；
2.采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术 措施；
3.采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定 留存相关的网络日志不少于六个月；
4.采取数据分类、重要数据备份和加密等措施；
5.法律、行政法规规定的其他业务。

第三十一条　国家公共通信和信息服务、能源、交通、水利、金融、 公共服务、电子政务等重要行业和领域，以及一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键基础设施，在网络安全等级保护的基础上，实行重点保护。
关键基础设施的具体范围和安全保护办法由国务院制定。
网络安全等级保护2.0-主要标准
1.网络安全等级保护条例
2.计算机信息系统安全保护等级划分准则（GB 17859-1999）（上位标准）
3.网络安全等级保护实施指南（GB/T25058）
4.网络安全等级保护定级指南（GB/T22240）
5. 网络安全等级保护基本要求（GB/T22239-2019）
6. 网络安全等级保护设计技术要求（GB/T25070-2019）
7. 网络安全等级保护测评要求（GB/T28448-2019）
8. 网络安全等级保护测评过程指南（GB/T28449-2018）

标准修订背景
1.为了配合网络安全法的实施，为了适应移动互联、云计算、大数据、物联网和工业控制等新技术、新应用情况下等级保护工作的开展。
2.国际标准27000系列和美国联邦NIST800-53系列安全相关标准和规范在2013和2014年发布了新的版本，内容进行了调整。
3.有必要对GB/T22239-2008进行修订，在适用性、时效性、易用性、可操作性上进一步完善。

形成草案第一稿

2014年4月至6月标准编制组在前述工作成果《等级保护 基本要求修订研究报告》的基础上，对原国家标准《信 息安全技术 信息系统安全等级保护基本要求》（GB/T 22239-2008）按照级别和层面进行了修订项的梳理，形 成了《基本要求草案修订汇总表》，修订出标准草案第 一稿

形成草案第二稿
1.基本要求的修订思路进行调整，标准变为系列标准。
2.2014年7月至2015年3月各个标准编制组：

3.2015年3月完成基本要求–安全通用要求草案第二稿。

评审和修订进程简介
1.2015年4月29日第一次专家评审会
2.2015年12月8日第二次专家评审会
3.2016年7月1日第三次专家评审会
4.2016年9月参加安标委WG5工作组在研标准推进会，对草案再次进行修改，形成了标准征求意见稿。

第一次大变化
2017年12月，安标委组织标准专家审查组对标准送审稿进行审查，编制组根据意见再次修订标准，形成标准报批稿。

第二次变化
1.2018年7月根据意见再次调整分类结构和强化可信计算。
2.充分体现一个中心，三重防御的思想。
3.充分强化可信计算技术使用的要求。

下篇–总体的结构变化

¹

---

1. 信息产业信息安全测评中心 张益 ↩︎