关于等保的一点学习笔记
时间线
---1994年
国务院147号令(第一次提出等级保护概念,要求对信息系统分等级进行保护)
---1999年
GB17859国家强制标准发布,信息系统等级保护不许遵循的法规
---2005年
公安部四大标准《基本要求》《定级指南》《实施指南》《测评标准》
---2007年
公通字【2007】43号(等级保护管理办法发布,明确如何建设、如何监管以及如何选择服务商等)
---2015年
中央网信领导小组2015年工作要求、落实国家信息安全等级保护制度
---2017年
《网络安全法》(第二十一条“国家实行网络安全等级保护制度”,该法是深化网络安全等级保护制度的重要举措,2017年6月1日施行)
----------------
等级保护2.0
一:安全通用要求
二:云计算安全扩展要求--增加
三:移动互联安全扩展要求--增加
四:物联网安全扩展要求--增加
五:工业控制安全--增加
六:大数据库安全扩展要求--增加
===================
等保建设中的角色
---公安机关网监部门---
主要承担监督检查的工作,同时负责管理测评机构。各单位的系统定级备案要到公安机关网安部门进行(四五级等保定级由网安部门进行)
---测评机构(公安机关备案的测评机构)---
主要承担系统测评的工作,只有当地公安机关备案的测评机构才可以开展测评工作
---需要测评的用户单位---
对于用户单位的相关系统完成定级备案、完成整改、配合测评机构工作展开。
---集成商、安全厂商---
根据测评机构提供的整改方案,要采购相应对的安全设备和服务,这些内容由集成商和安全厂商提供
=========================
等级保护工作流程
----定级备案
梳理信息系统情况,确定等级,提交定级报告和备案表到当地网警部门
----差距评估
聘请第三方测评机构,进行安全检查和评估,找出现状问题,提交问题报告和整改方案
----整改建设
根据差距评估结果,进行技术+产品+人工+管理制度等方面的整改建设工作
----等级评测
聘请第三方测评机构,进行登记保护测评工作,提交相应的等级保护测评报告到网警部门
-----监督检查
================
等保1.0和等保2.0的主要区别
(1)名称有所改变
等保1.0(信息安全技术信息系统安全等级保护基本要求)
等保2.0(信息安全技术网络安全等级保护基本要求)
(2)定级对象变化
等保1.0的定级对象时信息系统,现在2.0更为广泛,包含:信息系统、基础信息网络、采用云计算平台、移动互联技术、物联网、工业控制、大数据等技术的网络。
(3)安全要求变化
基本要求的内容,由安全要求变革为安全通用要求于安全扩展要求(含云计算、移动互联、物联网、工业控制)
(4)控制措施分类结构变化。
等保2.0依旧保留技术和管理两个维度。
--在技术上
由物理安全、网络安全、主机安全、应用安全、数据安全、变更为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心。
--在管理上
结构上没有太大的变化,从安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理,调整为安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理
(5)内容变化。
从等保1.0的定级备案、差距评估、建设整改、等级测评、监督检查五个规定动作,变更为五个规定动作+新的安全要求(增加了风险评估、安全监测、通报预警、事件调查、数据防护、灾难备份、应急处置等)
(6)法律效力不同
落实安全等级保护制度上升为法律义务。
等保2.0相比1.0的进步/区别?
区别总结:
等保1.0强调物理主机、应用、数据、传输,而2.0版本增加了对云计算、移动互联、物联网、工业控制和大数据等新技术新应用的全覆盖。相较于等保。
二级两年一次(二级开始备案)
三级每年一次
四级一年一次(在1.0中半年一次)
整体变化:
技术变化:
管理变化:
附上整理的思维导图