|
为了通过等级保护合规,很多人问:信息安全等级保护政策或标准是什么?基于什么?为了解决这个问题, 提供国家发布的相关等级保护标准,可以收集!
首先要明确的是,自2019年12月1日起,等保相关标准正式实施,我国也正式进入等保2.0时代。与等保1相比.0,等保2.0发生了很多变化。对于需要申请等级保护的企业,如果等保2.如有规定,请参考等保2.最新0的最新规定。当然,有一些标准,无论是等保1还是等保1.0还是等保2.0.都是通用的。
信息安全等级保护
一.等保1.时代等级保护相关标准
1.《中华人民共和国人民警察法》规定:人民警察执行“监督计算机信息系统的安全保护”的职责。
2.国务院令第147号规定:“公安部负责国家计算机信息系统的安全保护”,“公安部会同有关部门制定等级保护的具体措施”。
3.2008年国务院“三定”方案,赋予公安部“监管.检查.指导信息安全等级保护”法定职责。
4.《国家信息化领导小组关于加强信息安全保障的意见》(中央办公厅发布[2003]No.27)明确提出实施信息安全等级保护。重点保护与国家安全有关的基本网络信息和国家安全.经济命脉.社会稳定等方面的重要信息系统,要建立信息安全等级保护制度,制定信息安全等级保护的监管措施和技术指南。
5.《国务院关于促进信息化发展、切实保障信息安全的若干意见》(国发〔2012〕23号):“落实信息安全等级保护制度,进行相应等级的安全建设和管理,做好信息系统定级备案工作.整改监督管理。”
6.国家发改委.公安部.财政部.国家保密局.国家电子政务内网建设与管理协调小组办公室联合发布《关于进一步加强国家电子政务网络建设与应用的通知》(发改高新[2012]1986号)
7.公安部.国家发改委、财政部联合下发的《关于加强国家重要信息系统安全保障的通知》(公信安[2014]2182号)要求,加强47个行业.276家单位.安全管理和保障500个涉及国计民生的国家重要信息系统。
《安全控制体系建设意见》要求:“完善国家网络安全监测预警通报处理机制,完善信息安全等级保护制度”。
8.2014年12月,中共中央办公厅《关于加强社会控体系建设的意见》要求:“完善国家网络安全监测预警通报处理机制,完善信息安全等级保护制度”。
9.2014年12月,中央批准实施的《关于全面深化公安改革若干重大问题的框架意见》指出,“完善信息安全等级保护制度,完善网络安全风险监测预警.通报处理机制”。
10.2015年中央网络安全与信息化领导小组工作要点“实施国家信息安全等级保护制度”。
二.等保2.时代等级保护相关标准
1.《网络安全法》
需要申请等级保护的公司必须参考的标准之一是《网络安全法》。其实《网络安全法》早在2017年就发布了,应该算是等保1.0期标准,但由于这个比较重要,我们把它放在2期.0时代。《网络安全法》明确规定信息系统运行.用户应当按照网络安全等级保护制度的要求,履行安全保护责任,拒不执行的,将受到相应的处罚。
《网络安全法》第二十一条规定:
国家实行网络安全等级保护制度。网络运营商应按照网络安全等级保护制度的要求,履行以下安全保护责任,确保网络不受影响.未经授权损坏或浏览,防止网络数据泄露或被盗.篡改:
1.制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
2.预防计算机病毒和黑客攻击.危害网络安全行为的技术措施,如网络入侵;
3.采用监测.记录网络运行状态.网络安全事件技术措施,并按规定保留相关网络日志不少于6个月;
4.采用数据分类.重要备份数据和加密措施;
5.法律.行政法规定的其他责任。
《网络安全法》第三十八条规定:
关键信息基础设施的经营者应当自行或者委托网络安全服务机构每年至少对其网络安全和可能存在的风险进行一次检查评估,并将检查评估和改进措施报送负责关键信息基础设施安全保护的有关部门。
《网络安全法》第五十九条规定:
网络运营商不履行本法第二十一条.第二十五条规定的网络安全保护义务,由有关主管部门责令改正并给予警告;拒不改正或者危害网络安全的,处一万元以上十万元以下罚款,直接负责的管理人员处五千元以上五万元以下罚款。
关键信息基础设施的经营者不履行本法第三十三条的规定.第三十四条.第三十六条.第三十八条规定的网络安全保护义务,由有关主管部门责令改正并给予警告;拒不改正或者危害网络安全的,处十万元以上一百万元以下罚款,直接负责的管理人员处一万元以上十万元以下罚款。
2.GB/T2239-2019《信息安全技术网络安全等级保护基本要求》
本标准是等级保护标准体系的核心,修改和完善了2008年版本标准中提出的基本要求,产生了一般的安全要求;云计算.大数据.移动互联.物联网.工业控制等新技术、新应用领域提出了安全扩张要求。
3.GB/T25070-2019年《信息安全技术网络等级保护安全设计技术标准》
本标准主要针对共同安全保护目标提出一般安全设计技术标准,适用于指导操作用户.网络安全公司.网络安全服务机构设计实施网络安全等级保护安全技术规范,也可作为网络安全工作部门监督.检查和指导的依据。
4.GB/T2848-2019《信息安全技术网络安全等级保护评价要求》
本标准与等级保护基本要求一致,主要确定评价目标.评价规则等内容。本标准为安全评价服务机构。.等级保护对象的主管机构和运营用户为等级保护对象的安全评价提供指导。信息安全控制部门参照网络安全等级保护监督管理。
5.《GBT22240-2020信息安全技术网络安全等级保护指南
2020年4月28日,国家市场监督管理总局和国家标准化管理委员会发布《GBT22240-2020年信息安全技术网络安全等级保护定级指南将于2020年11月1日正式实施。本指南主要是对信息系统的分级指导,
包括:分级保护目标介绍.定级要素与安全保护等级的关系.定级流程.不同保护对象的分级表示等。
|
