等保介紹
等保發展歷程
1994
國務院147號令
第一次提出等級保護概念,要求對信息系統分等級進行保護
1999
GB17859
國家強制標準發佈,信息系統等級保護必須遵循的法規
2005
公安部四大標準
基本要求》 《定級指南》《實施指南》 《測評標準》
2007
公通字[2007]43號
等級保護管理辦法發佈,明確如何建設、如何監管以及如何選擇服務商等
2015
工作要點
中央網信領導小組2015年工作要求、落實國家信息安全等級保護制度
2017
《網絡安全法》
第二十一條“國家實行網絡安全等級保護制度”。該法是深化網絡安全等級保護制度重要舉措,2017年6月1日起施行。
2019
《信息安全技術網絡安全等級保護基本要求》
等保2.0在2019年12月1日正式實施
爲什麼要做等級保護——免責
做了,出事,是天災(沒有絕對的安全),不做出事,是人禍
注意,滲透測試只是等保的一小塊
責任更清晰
完成等保測評意味着公安機關認可你的安全現狀,一旦發生安全事件是意外。如果沒有進行等級保護測評意味着你沒有達到國家要求,一旦發生安全事件,用戶單位將承擔主要責任,網監部門會直接進行比較嚴厲的處罰。
安全建設體系化(自身安全預防)
以等級保護爲標準開展安全建設,可以讓單位自身安全建設更加體系化,可以從物理、網絡、主機、應用和數據多個方面成體系的進行安全建設,再也不是頭痛醫頭腳痛醫腳,對本單位的安全建設有整體的規劃和思路。
如何做等級保護-相關標準
基礎類
《計算機信息系統安全保護等級劃分準則》GB 17859-1999
《信息系統安全等級保護實施指南》 GB/T25058-2010
應用類
定級:《信息系統安全保護等級定級指南》GB/T 22240-2008
建設:《信息系統安全等級保護基本要求》GB/T 22239-2008
《信息系統通用安全技術要求》GB/T 20271-2006
《信息系統等級保護安全設計技術要求》
測評:《信息系統安全等級保護測評要求》 GB/T28448-2012
《信息系統安全等級保護測評過程指南》 GB/T28449-2012
管理:《信息系統安全管理要求》GB/T 20269-2006
《信息系統安全工程管理要求》GB/T 20282-2006
等級保護建設中的角色
首先是公安部門老大哥
測評機構可以在等保網站查詢
一到三級都是測評機構做,四五級都是公安做
用戶單位就是我們常說的甲方
廠商
賣設備,提供修改 ,升級服務
互相之間不能涉及對方業務
等級保護工作大概流程
定級備案 差距評估 整改建設 等級測評