网络安全-等级保护制度介绍
一、等保发展历程
(1)1994国务院147号令
第一次提出等级保护概念,要求对信息系统分等级进行保护
(2)1999年GB17859
国家强制标准发布,信息系统等级保护必须遵循的法规
(3)2005年公安部四大标准
《基本要求》《定级指南》《实施指南》《测评标准》
(4)2007年公通字【2007】43号
等级保护管理办法发布,明确如何建设、如何监管以及如何选择服务商等
(5)2015年工作要点
中央网信领导小组2015年工作要求、落实国家信息安全等级保护制度
(6)2017年《网络安全法》
第二十二条规定"国家实行网络安全等级保护制度"
(7)2019年《信息安全技术网络安全等级保护基本要求》
等保2.0在2019年12月1日正式实施
二、为什么要做等级保护
做了出事,属于天灾意外,不做出事,属于人祸,不合规。
(1)责任分担
责任划分更加明确。
完成等保测评表明公安机关对你当前的安全状况给予了认可。
若出现安全事件认定为意外,则需满足特定条件方能实施防护措施。
未通过等级保护测评则表明你未达到国家相关要求。
由用户单位承担主要责任。
相关部门将会采取较为严厉的方式进行处罚。
(2)安全体系化
以网络安全等级保护制度为标准开展安全管理活动,则有助于提升单位自身的安全管理体系建设水平。从物理设施、网络架构、主机设备到应用系统以及数据管理等多个维度全面构建安全防护体系,在整体上实现对本单位信息安全的科学规划与有效管控。
三、如何做等级保护-相关标准
基础类
该《计算机信息系统安全保护等级划分准则》的标准编号为GB 17859-1999;该《信息系统安全等级保护实施指南》的标准编号为GB/T 25058-2010
应用类
定级:
《信息系统安全保护等级定级指南》GB/T 22240-2008
建设:
《信息系统的安全信息安全等级保护基础要求》GB/T 22239-2008
《信息系统的通用信息安全技术一般要求》GB/T 20271-2006
《信息系统的等级保护信息安全设计技术规范》
测评:
《信息安全系统实施的安全等级保护管理措施的技术规范性文件》GB/T 28448-2012
管理:
《信息系统安全管理要求》GB/T 20269-2006
《信息系统安全工程管理要求》GB/T 20282-2006
四、等保建设中参与角色
五、等保建设流程
