关于等保的一点学习笔记

时间线

---1994年

国务院147号令（第一次提出等级保护概念，要求对信息系统分等级进行保护）

---1999年

GB17859国家强制标准发布，信息系统等级保护不许遵循的法规

---2005年

公安部四大标准《基本要求》《定级指南》《实施指南》《测评标准》

---2007年

公通字【2007】43号（等级保护管理办法发布，明确如何建设、如何监管以及如何选择服务商等）

---2015年

中央网信领导小组2015年工作要求、落实国家信息安全等级保护制度

---2017年

《网络安全法》（第二十一条“国家实行网络安全等级保护制度”，该法是深化网络安全等级保护制度的重要举措，2017年6月1日施行）

----------------

等级保护2.0

一：安全通用要求

二：云计算安全扩展要求--增加

三：移动互联安全扩展要求--增加

四：物联网安全扩展要求--增加

五：工业控制安全--增加

六：大数据库安全扩展要求--增加

===================

等保建设中的角色

---公安机关网监部门---

主要承担监督检查的工作，同时负责管理测评机构。各单位的系统定级备案要到公安机关网安部门进行（四五级等保定级由网安部门进行）

---测评机构(公安机关备案的测评机构)---

主要承担系统测评的工作，只有当地公安机关备案的测评机构才可以开展测评工作

---需要测评的用户单位---

对于用户单位的相关系统完成定级备案、完成整改、配合测评机构工作展开。

---集成商、安全厂商---

根据测评机构提供的整改方案，要采购相应对的安全设备和服务，这些内容由集成商和安全厂商提供

 

=========================

等级保护工作流程

----定级备案

梳理信息系统情况，确定等级，提交定级报告和备案表到当地网警部门

----差距评估

聘请第三方测评机构，进行安全检查和评估，找出现状问题，提交问题报告和整改方案

----整改建设

根据差距评估结果，进行技术+产品+人工+管理制度等方面的整改建设工作

----等级评测

聘请第三方测评机构，进行登记保护测评工作，提交相应的等级保护测评报告到网警部门

-----监督检查

================

等保1.0和等保2.0的主要区别

（1）名称有所改变

等保1.0（信息安全技术信息系统安全等级保护基本要求）

等保2.0（信息安全技术网络安全等级保护基本要求）

（2）定级对象变化

等保1.0的定级对象时信息系统，现在2.0更为广泛，包含：信息系统、基础信息网络、采用云计算平台、移动互联技术、物联网、工业控制、大数据等技术的网络。

（3）安全要求变化

基本要求的内容，由安全要求变革为安全通用要求于安全扩展要求(含云计算、移动互联、物联网、工业控制)

（4）控制措施分类结构变化。

等保2.0依旧保留技术和管理两个维度。

--在技术上

由物理安全、网络安全、主机安全、应用安全、数据安全、变更为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心。

--在管理上

结构上没有太大的变化，从安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理，调整为安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理

（5）内容变化。

从等保1.0的定级备案、差距评估、建设整改、等级测评、监督检查五个规定动作，变更为五个规定动作+新的安全要求（增加了风险评估、安全监测、通报预警、事件调查、数据防护、灾难备份、应急处置等）

（6）法律效力不同

落实安全等级保护制度上升为法律义务。

 

等保2.0相比1.0的进步/区别？

区别总结：

等保1.0强调物理主机、应用、数据、传输，而2.0版本增加了对云计算、移动互联、物联网、工业控制和大数据等新技术新应用的全覆盖。相较于等保。

二级两年一次（二级开始备案）

三级每年一次

四级一年一次（在1.0中半年一次）

整体变化：

 

技术变化：

 

管理变化：

 

 附上整理的思维导图