等级保护2.0国家标准简介
2019年网络安全等级保护制度2.0国家标准的发布,是具有里程碑意义的一件大事,标志着国家网络安全等级保护工作步入新时代。
从1.0到2.0,我国等级保护制度走过了十几年。等级保护2.0是网络安全的一次重大升级,等级保护对象范围在传统系统的基础上扩大了云计算、移动互联、物联网、大数据等,对等级保护制度提出了新的要求。新的形势下,国家网络空间安全面临着哪些新的挑战,又该如何守护呢?
“与1.0相比,等保2.0标准内涵更加丰富,除进行1.0时代网络定级及备案审核、等级测评、安全建设整改、自查等规定动作外,还增加了测评活动安全管理、网络服务管理、产品服务采购使用管理、技术维护管理、监测预警和信息通报管理、数据和信息安全保护要求、应急处置要求等内容。”
“等保2.0标准一个很大的特点是把可信计算使用写入了标准范围,从一级开始到四级全部提出了可信验证空间。”公安部信息安全等级保护评估中心副研究员马力说。
网络安全等级保护2.0国家通用层面的主要标准已基本形成,后续各行业需要根据本行业的业务场景制定等保的行业细化标准,行业标准比国家通用的标准更细化、更贴近本行业的业务、场景和安全合规。
等级保护2.0国家标准包括哪些内容?
《网络安全等级保护条例(征求意见稿)》
2018年6月27日,公安部发布《网络安全等级保护条例(征求意见稿)》。作为《网络安全法》的重要配套法规,《保护条例》对网络安全等级保护的适用范围、各监管部门的职责、网络运营者的安全保护义务以及网络安全等级保护建设提出了更加具体、操作性也更强的要求,为开展等级保护工作提供了重要的法律支撑。
《GB17859-1999 计算机信息系统 安全保护等级划分准则》
本标准规定了计算机系统安全保护能力的五个等级,即:
第一级:用户自主保护级;第二级:系统审计保护级;第三级:安全标记保护级;第四级:结构化保护级;第五级:访问验证保护级。
本标准适用计算机信息系统安全保护技术能力等级的划分。计算机信息系统安全保护能力随着安全保护等级的增高,逐渐增强。
《GB/T25058-2019 信息安全技术 网络安全等级保护实施指南》
该标准2019-8-30号正式发布,2020-03-01正式实施。是等级保护2.0中的核心标准之一。针对等级保护系列标准中未涉及到的工作内容,提出了具体方法论,以及可操作性的技术方法指导,指出了在实施等级保护工作时不同的角色在不同阶段的作用以及可参考的技术标准,为运营、使用单位落实等级保护制度提供有力工作支撑。
《GB/T 22240-2020 信息安全技术 网络安全等级保护定级指南》
该标准主要讲述系统如何科学进行定级,代替了GB/T 22240-2008,由于新技术新业务形态的变化(云计算、物联网、大数据、移动互联技术)等出现,旧的标准不再适应今天的新业务新技术的变化,所以标准要重新修订。
《GB/T22239-2019 信息安全技术 网络安全等级保护基本要求 》
该标准主要讲述差距测评和建设整改,代替了GB/T 22239-2008,同样由于新技术新业务形态的变化(云计算、物联网、大数据、移动互联技术)等出现,旧的标准不再适应今天的新业务新技术的变化,所以标准要重新修订。新标准分为两部分,1)安全通用要求;2)安全扩展要求(云计算、物联网、移动互联、工业控制系统)。这个标准非常重要,所有网络运营者、安全服务/测评机构、第三方监管机构、厂家等都是依据该标准进行建设、测评和检查。
《GB/T25070-2019 信息安全技术 网络安全等级保护安全设计技术要求》
该标准代替了GB/T 25070-2010,主要是指导整改建设的方法论和过程。
《GB/T28448-2019 信息安全技术 网络安全等级保护测评要求》
该标准代替了GB/T 28448-2012,分别针对基本要求的每个级别、每个类和控制点都进行讲述如何测评和评判符合程度。
《GB/T28449-2018 信息安全技术 网络安全等级保护测评过程指南》
该标准代替了GB/T 28449-2012,主要作用是指导测评时候的过程和方法,即便不懂测评过程和流程的,也能通过本标准了解测评流程。
等级保护相关知识测试题目
1、存储、处理国家秘密的计算机信息系统按照涉密程度实行()?A.专人保护
B.分级保护
C.重点保护
D.特殊保护
正确答案(马上查看)
声明: 此文观点不代表本站立场;转载须要保留原文链接;版权疑问请联系我们。