关于等保的一点学习笔记

时间线

---1994年

国务院147号令(第一次提出等级保护概念,要求对信息系统分等级进行保护)

---1999年

GB17859国家强制标准发布,信息系统等级保护不许遵循的法规

---2005年

公安部四大标准《基本要求》《定级指南》《实施指南》《测评标准》

---2007年

公通字【2007】43号(等级保护管理办法发布,明确如何建设、如何监管以及如何选择服务商等)

---2015年

中央网信领导小组2015年工作要求、落实国家信息安全等级保护制度

---2017年

《网络安全法》(第二十一条“国家实行网络安全等级保护制度”,该法是深化网络安全等级保护制度的重要举措,2017年6月1日施行)

----------------

等级保护2.0

一:安全通用要求

二:云计算安全扩展要求--增加

三:移动互联安全扩展要求--增加

四:物联网安全扩展要求--增加

五:工业控制安全--增加

六:大数据库安全扩展要求--增加

===================

等保建设中的角色

---公安机关网监部门---

主要承担监督检查的工作,同时负责管理测评机构。各单位的系统定级备案要到公安机关网安部门进行(四五级等保定级由网安部门进行)

---测评机构(公安机关备案的测评机构)---

主要承担系统测评的工作,只有当地公安机关备案的测评机构才可以开展测评工作

---需要测评的用户单位---

对于用户单位的相关系统完成定级备案、完成整改、配合测评机构工作展开。

---集成商、安全厂商---

根据测评机构提供的整改方案,要采购相应对的安全设备和服务,这些内容由集成商和安全厂商提供

 

=========================

等级保护工作流程

----定级备案

梳理信息系统情况,确定等级,提交定级报告和备案表到当地网警部门

----差距评估

聘请第三方测评机构,进行安全检查和评估,找出现状问题,提交问题报告和整改方案

----整改建设

根据差距评估结果,进行技术+产品+人工+管理制度等方面的整改建设工作

----等级评测

聘请第三方测评机构,进行登记保护测评工作,提交相应的等级保护测评报告到网警部门

-----监督检查

================

等保1.0和等保2.0的主要区别

(1)名称有所改变

等保1.0(信息安全技术信息系统安全等级保护基本要求)

等保2.0(信息安全技术网络安全等级保护基本要求)

(2)定级对象变化

等保1.0的定级对象时信息系统,现在2.0更为广泛,包含:信息系统、基础信息网络、采用云计算平台、移动互联技术、物联网、工业控制、大数据等技术的网络。

(3)安全要求变化

基本要求的内容,由安全要求变革为安全通用要求于安全扩展要求(含云计算、移动互联、物联网、工业控制)

(4)控制措施分类结构变化。

等保2.0依旧保留技术和管理两个维度。

--在技术上

由物理安全、网络安全、主机安全、应用安全、数据安全、变更为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心。

--在管理上

结构上没有太大的变化,从安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理,调整为安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理

(5)内容变化。

从等保1.0的定级备案、差距评估、建设整改、等级测评、监督检查五个规定动作,变更为五个规定动作+新的安全要求(增加了风险评估、安全监测、通报预警、事件调查、数据防护、灾难备份、应急处置等)

(6)法律效力不同

落实安全等级保护制度上升为法律义务。

 

等保2.0相比1.0的进步/区别?

区别总结:

等保1.0强调物理主机、应用、数据、传输,而2.0版本增加了对云计算、移动互联、物联网、工业控制和大数据等新技术新应用的全覆盖。相较于等保。

二级两年一次(二级开始备案)

三级每年一次

四级一年一次(在1.0中半年一次)

整体变化:

 

技术变化:

 

管理变化:

 

 附上整理的思维导图

posted @ 2021-03-08 15:39  sec_wuyy  阅读(659)  评论(0编辑  收藏  举报