網絡安全等級保護制度2.0內容全文(網絡安全在

  業界資訊     |      2023-03-28 20:01

等級保護標準體系

No.1 等級保護1.0標準體系

2007年,《信息安全等級保護管理辦法》(公通字[2007]43號)文件的正式發布,標志著等級保護1.0的正式啟動。等級保護1.0規定了等級保護需要完成的“規定動作”,即定級備案、建設整改、等級測評和監督檢查,為了指導用戶完成等級保護的“規定動作”,在2008年至2012年期間陸續發布了等級保護的一些主要標準,構成等級保護1.0的標準體系。

網絡安全等級保護制度2.0內容全文(網絡安全在身邊)(1)

>>>等級保護1.0時期的主要標準如下:

信息安全等級保護管理辦法(43號文件)(上位文件)

計算機信息系統安全保護等級劃分準則 GB17859-1999(上位標準)

信息系統安全等級保護實施指南 GB/T25058-2008

信息系統安全保護等級定級指南 GB/T22240-2008

信息系統安全等級保護基本要求 GB/T22239-2008

信息系統等級保護安全設計要求 GB/T25070-2010

信息系統安全等級保護測評要求 GB/T28448-2012

信息系統安全等級保護測評過程指南 GB/T28449-2012

No.2 等級保護2.0標準體系

2017年,《中華人民共和國網絡安全法》的正式實施,標志著等級保護2.0的正式啟動。網絡安全法明確“國家實行網絡安全等級保護制度?!保ǖ?1條)、“國家對一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施,在網絡安全等級保護制度的基礎上,實行重點保護?!保ǖ?1條)。上述要求為網絡安全等級保護賦予了新的含義,重新調整和修訂等級保護1.0標準體系,配合網絡安全法的實施和落地,指導用戶按照網絡安全等級保護制度的新要求,履行網絡安全保護義務的意義重大。

隨著信息技術的發展,等級保護對象已經從狹義的信息系統,擴展到網絡基礎設施、云計算平臺/系統、大數據平臺/系統、物聯網、工業控制系統、采用移動互聯技術的系統等,基于新技術和新手段提出新的分等級的技術防護機制和完善的管理手段是等級保護2.0標準必須考慮的內容。關鍵信息基礎設施在網絡安全等級保護制度的基礎上,實行重點保護,基于等級保護提出的分等級的防護機制和管理手段提出關鍵信息基礎設施的加強保護措施,確保等級保護標準和關鍵信息基礎設施保護標準的順利銜接也是等級保護2.0標準體系需要考慮的內容。

>>>等級保護2.0標準體系主要標準如下:

網絡安全等級保護條例(總要求/上位文件)

計算機信息系統安全保護等級劃分準則(GB 17859-1999)(上位標準)

網絡安全等級保護實施指南(GB/T25058-2020)

網絡安全等級保護定級指南(GB/T22240-2020)

網絡安全等級保護基本要求(GB/T22239-2019)

網絡安全等級保護設計技術要求(GB/T25070-2019)

網絡安全等級保護測評要求(GB/T28448-2019)

網絡安全等級保護測評過程指南(GB/T28449-2018)

>>>關鍵信息基礎設施標準體系框架如下:

關鍵信息基礎設施保護條例(征求意見稿)(總要求/上位文件)

關鍵信息基礎設施安全保護要求(征求意見稿)

關鍵信息基礎設施安全控制要求(征求意見稿)

關鍵信息基礎設施安全控制評估方法(征求意見稿)

主要標準的特點和變化

No.1標準的主要特點

01 將對象范圍由原來的信息系統改為等級保護對象(信息系統、通信網絡設施和數據資源等),對象包括網絡基礎設施(廣電網、電信網、專用通信網絡 等)、云計算平臺/系統、大數據平臺/系統、物聯網、工業控制 系統、采用移動互聯技術的系統等。

02 在1.0標準的基礎上進行了優化,同時針對云計算、移動互聯、物聯網、工業控制系統及大數據等新技術和新應用領域提出新要求,形成了安全通用要求 新應用安全擴展要求構成的標準要求內容。

03 采用了“一個中心,三重防護”的防護理念和分類結構,強化了建立縱深防御和精細防御體系的思想。

04 強化了密碼技術和可信計算技術的使用,把可信驗證列入各個級別并逐級提出各個環節的主要可信驗證要求,強調通過密碼技術、可信驗證、安全審計和態勢感知等建立主動防御體系的期望。

No.2 標準的主要變化

01 名稱由原來的《信息系統安全等級保護基本要求》改為《網絡安全等級保護基本要求》。等級保護對象由原來的信息系統調整為基礎信息網絡、信息系統(含采用移動互聯技術的系統)、云計算平臺/系統、大數據應用/平臺/資源、物聯網和工業控制系統等。