為了通過等級保護合規�,很多人問:信息安全等級保護政策或標準是什么�����?基于什么���?為了解決這個問題���, 提供國家發布的相關等級保護標準�����,可以收集��!
首先要明確的是�,自2019年12月1日起���,等保相關標準正式實施���,我國也正式進入等保2.0時代���。與等保1相比.0��,等保2.0發生了很多變化��。對于需要申請等級保護的企業����,如果等保2.如有規定���,請參考等保2.最新0的最新規定��。當然���,有一些標準�����,無論是等保1還是等保1.0還是等保2.0.都是通用的����。
信息安全等級保護
一.等保1.時代等級保護相關標準
1.《中華人民共和國人民警察法》規定:人民警察執行“監督計算機信息系統的安全保護”的職責����。
2.國務院令第147號規定:“公安部負責國家計算機信息系統的安全保護”��,“公安部會同有關部門制定等級保護的具體措施”����。
3.2008年國務院“三定”方案��,賦予公安部“監管.檢查.指導信息安全等級保護”法定職責�。
4.《國家信息化領導小組關于加強信息安全保障的意見》(中央辦公廳發布[2003]No.27)明確提出實施信息安全等級保護�。重點保護與國家安全有關的基本網絡信息和國家安全.經濟命脈.社會穩定等方面的重要信息系統����,要建立信息安全等級保護制度�����,制定信息安全等級保護的監管措施和技術指南��。
5.《國務院關于促進信息化發展���、切實保障信息安全的若干意見》(國發〔2012〕23號):“落實信息安全等級保護制度���,進行相應等級的安全建設和管理�����,做好信息系統定級備案工作.整改監督管理��?��!?/span>
6.國家發改委.公安部.財政部.國家保密局.國家電子政務內網建設與管理協調小組辦公室聯合發布《關于進一步加強國家電子政務網絡建設與應用的通知》(發改高新[2012]1986號)
7.公安部.國家發改委���、財政部聯合下發的《關于加強國家重要信息系統安全保障的通知》(公信安[2014]2182號)要求�,加強47個行業.276家單位.安全管理和保障500個涉及國計民生的國家重要信息系統�����。
《安全控制體系建設意見》要求:“完善國家網絡安全監測預警通報處理機制�����,完善信息安全等級保護制度”�。
8.2014年12月�,中共中央辦公廳《關于加強社會控體系建設的意見》要求:“完善國家網絡安全監測預警通報處理機制�,完善信息安全等級保護制度”���。
9.2014年12月�����,中央批準實施的《關于全面深化公安改革若干重大問題的框架意見》指出����,“完善信息安全等級保護制度�,完善網絡安全風險監測預警.通報處理機制”�。
10.2015年中央網絡安全與信息化領導小組工作要點“實施國家信息安全等級保護制度”�����。
二.等保2.時代等級保護相關標準
1.《網絡安全法》
需要申請等級保護的公司必須參考的標準之一是《網絡安全法》���。其實《網絡安全法》早在2017年就發布了��,應該算是等保1.0期標準��,但由于這個比較重要����,我們把它放在2期.0時代���?�!毒W絡安全法》明確規定信息系統運行.用戶應當按照網絡安全等級保護制度的要求�,履行安全保護責任����,拒不執行的����,將受到相應的處罰���。
《網絡安全法》第二十一條規定:
國家實行網絡安全等級保護制度��。網絡運營商應按照網絡安全等級保護制度的要求�,履行以下安全保護責任�,確保網絡不受影響.未經授權損壞或瀏覽���,防止網絡數據泄露或被盜.篡改:
1.制定內部安全管理制度和操作規程����,確定網絡安全負責人����,落實網絡安全保護責任����;
2.預防計算機病毒和黑客攻擊.危害網絡安全行為的技術措施�����,如網絡入侵���;
3.采用監測.記錄網絡運行狀態.網絡安全事件技術措施�����,并按規定保留相關網絡日志不少于6個月�;
4.采用數據分類.重要備份數據和加密措施�����;
5.法律.行政法規定的其他責任��。
《網絡安全法》第三十八條規定:
關鍵信息基礎設施的經營者應當自行或者委托網絡安全服務機構每年至少對其網絡安全和可能存在的風險進行一次檢查評估����,并將檢查評估和改進措施報送負責關鍵信息基礎設施安全保護的有關部門�����。
《網絡安全法》第五十九條規定:
網絡運營商不履行本法第二十一條.第二十五條規定的網絡安全保護義務���,由有關主管部門責令改正并給予警告���;拒不改正或者危害網絡安全的���,處一萬元以上十萬元以下罰款��,直接負責的管理人員處五千元以上五萬元以下罰款����。
關鍵信息基礎設施的經營者不履行本法第三十三條的規定.第三十四條.第三十六條.第三十八條規定的網絡安全保護義務�,由有關主管部門責令改正并給予警告���;拒不改正或者危害網絡安全的��,處十萬元以上一百萬元以下罰款����,直接負責的管理人員處一萬元以上十萬元以下罰款�����。
2.GB/T2239-2019《信息安全技術網絡安全等級保護基本要求》
本標準是等級保護標準體系的核心�����,修改和完善了2008年版本標準中提出的基本要求�,產生了一般的安全要求���;云計算.大數據.移動互聯.物聯網.工業控制等新技術�、新應用領域提出了安全擴張要求�����。
3.GB/T25070-2019年《信息安全技術網絡等級保護安全設計技術標準》
本標準主要針對共同安全保護目標提出一般安全設計技術標準�,適用于指導操作用戶.網絡安全公司.網絡安全服務機構設計實施網絡安全等級保護安全技術規范�,也可作為網絡安全工作部門監督.檢查和指導的依據���。
4.GB/T2848-2019《信息安全技術網絡安全等級保護評價要求》
本標準與等級保護基本要求一致���,主要確定評價目標.評價規則等內容����。本標準為安全評價服務機構����。.等級保護對象的主管機構和運營用戶為等級保護對象的安全評價提供指導��。信息安全控制部門參照網絡安全等級保護監督管理�。
5.《GBT22240-2020信息安全技術網絡安全等級保護指南
2020年4月28日�����,國家市場監督管理總局和國家標準化管理委員會發布《GBT22240-2020年信息安全技術網絡安全等級保護定級指南將于2020年11月1日正式實施���。本指南主要是對信息系統的分級指導�,
包括:分級保護目標介紹.定級要素與安全保護等級的關系.定級流程.不同保護對象的分級表示等�����。
