网络安全等级保护2.0
-
概念
信息安全等级制度旨在对关键信息(包括法人和其他组织和个人的专有信息)以及公开信息实施分级保护,并通过存储数据的方式实现安全管理和事件应对
-
等级划分
-
一级自主保护级别主要针对一般信息及信息系统,在遭受破坏后可能会对公民、法人以及其他组织的权利造成一定影响,并且不会危及国家安全、社会秩序以及经济建设与公共利益。
-
第二级处于指导保护级别,在涉及国家安全和社会秩序等多方面的信息以及信息系统中被采用时,则属于一般性保护级别的范畴。一旦遭受破坏,则会对其所属的国家安全、社会秩序以及经济建设和公共利益产生一定的影响。
第三种级别属于监督性保护级别,在涉及国家安全、社会秩序、经济建设以及公共利益的信息系统中进行应用时会被涵盖。一旦此类信息系统的安全威胁被发现或发生破坏事件,则会对其国家安全、社会秩序、经济建设以及公共利益造成显著影响。
第四级属于强制保护级,在涵盖国家安全、社会秩序、经济建设以及公共利益等方面的信息系统中应用广泛;一旦这些系统遭受破坏或损坏,则会对国家安全、社会秩序、经济发展以及公共利益造成严重影响。
第五级为高度防护级别,在涉及国家安全、社会秩序、经济建设及公共利益的关键信息和信息系统的核心子系统中适用,在遭受破坏后将导致特别严重的损害
-
发展历程
-
等级保护2.0安全框架
-
如何开展等保
开展的5个环节
定级——备案——建设整改——等级评测——监督检查
-
定级
-
定级流程
-
定级对象
- 基础网络
包括网络基础设施:电信网、广播电视传输网、互联网等。
跨区域的全国性业务专用网络可被视为一个整体对象进行分级管理;或者划分为多个区域内的独立分级单元
- 传统信息系统
具有唯一确定的安全责任单位
承载相对独立的业务应用
具有信息系统的基本要素
- 云计算平台
在现代云计算环境中,应当将云服务提供方下的云计算平台独立设立为分级目标,同时也要将云用户端的相关等级保护对象独立设立为分级目标进行管理与评估.
针对大型云计算平台而言,在划分云计算基础设施及其相关的辅助服务系统时,请将其分为若干等级的对象
- 采用移动互联技术的信息系统
采用移动互联技术的等级保护对象作为一个整体对象定级
移动终端、移动应用和无线网络等要素不单独定级
- 物联网
作为一个整体对象进行定级,在技术实现上主要包含感知层、网络传输层以及处理应用层等组成部分。
- 工业控制系统
生产管理层的定级对象确定方法与信息系统相同
这三个层次(设备层、现场控制层及过程监控层)能够作为一个整体对象进行定级;其中的所有要素无需单独定级。
对于大型工业控制系统来说,在综合考虑系统功能、控制对象以及生产厂商等因素的基础上进行分类处理会更加合理
-
备案
定级备案
定级备案
-
建设整改
-
评测
-
等保方案
