当前位置:文档之家 › 最新等级保护新标准(2.0)介绍--ppt课件PPT课件

最新等级保护新标准(2.0)介绍--ppt课件PPT课件

  • 格式:ppt
  • 大小:2.56 MB
  • 文档页数:67

下载文档原格式

  / 67

合集下载

等级保护新标准介绍PowerPoint 演示文稿

等级保护新标准介绍PowerPoint 演示文稿
等级保护工作内容将持续扩展
在定级、备案、建设整改、等级测评和监督检查等规定 动作基础上,2.0时代风险评估、安全监测、通报预警、案 事件调查、数据防护、灾难备份、应急处置、自主可控、 供应链安全、效果评价、综治考核等这些与网络安全密切 相关的措施都将全部纳入等级保护制度并加以实施。
等级保护对象将不断拓展
3
等级保护发展历程与展望
等保1.0时代 等保2.0工作
展望
重要标志
2.0系列标 准编制工作
• 2016年10月10日,第五届全国信息安全等级保护技术大召开,公安部网络安全保卫局郭启全总工 指出“国家对网络安全等级保护制度提出了新的要求,等级保护制度已进入2.0时代”。
• 2016年11月7日,《中华人民共和国网络安全法》正式颁布,第二十一条明确“国家实行网络安全 等级保护制度……”
• 2003年,中央办公厅、国务院办公厅颁发《国家信息化领导小组关于加强信息安全保障工作的意 见》(中办发[2003]27号)明确指出“实行信息安全等级保护”。
2004-2006 工作开展准备
• 2004-2006年,公安部联合四部委开展涉及65117家单位,共115319个信息系统的等级保护基础 调查和等级保护试点工作,为全面开展等级保护工作奠定基础。
信 息 系 统 安 全 等 级 保 护 实 施 指 南 》
信 息 系 统 等 级 保 护 安 全 设 计 技 术 要 求
信 息 系 统 安 全 等 级 保 护 测 评 要 求 》
信 息 系 统 安 全 等 级 保 护 测 评 过 程 指 南


7
等级保护2.0标准体系
等保1.0
等保2.0
正式更名为网 络安全等级保 护标准;

等保2.0标准体系详细解读-培训课件

等保2.0标准体系详细解读-培训课件
访问控制:加强对基于应用协议和应用内容的访问控制 入侵防范:加强对关键网络节点处检测、防止或限制从内/外部发起的网络攻击
行为;新增实现对网络攻击特别是新型网络攻击行为的分析 恶意代码和垃圾邮件防范:新增垃圾邮件防护 安全审计:新增对远程访问的用户行为、访问互联网的用户行为等单独进行行为
资源控制
7
数据完整性
2
数据安全及 备份恢复
数据保密性
2
备份和恢复
4
安全计算环境
控制点
要求项
身份鉴别
4
访问控制
7
安全审计
4
入侵防范
6
恶意代码防范
1
可信验证
1数据Biblioteka 整性2数据保密性2
数据备份恢复
3
剩余信息保护
2
个人信息保护
2
合计
34
变化列举
身份鉴别:加强用户身份鉴别,采用两种或两种以上鉴别方式,且其中 一种鉴别技术至少应使用密码技术来实现
安全审计 数据完整性 个人信息保护
入侵防范 数据保密性
安全区域边界
边界防护
访问控制
恶意代码和垃圾邮件防范
入侵防范 安全审计
可信验证
安全通信网络 网络架构
通信传输
可信验证
安全物理环境
物理位置选择 防雷击
温湿度控制
物理访问控制 防火
电力供应
防盗窃和防破坏
防水和防潮
防静电
电磁防护
通用要求-安全管理要求的变化
信息安全保障纲领 性文件,明确指出 “实行信息安全等 级保护“主要任务
进一步明确了信息 安全等级保护制度 的职责分工和工作 的要求等基本内容
明确了信息安全等 级保护的五个动作, 为开展等级保护工 作提供了规范保障

等级保护新标准(2.0)介绍PPT

等级保护新标准(2.0)介绍PPT

等级保护2.0标准体系
等保1.0 等保2.0
GB 17859-1999 《计算机信息系统安全保护等
级划分准则》
《《《《《《
信 息 系 统 安 全 等 级 保 护 定 级 指 南 》
信 息 系 统 安 全 等 级 保 护 基 本 要 求 》
信 息 系 统 安 全 等 级 保 护 实 施 指 南 》
信 息 系 统 等 级 保 护 安 全 设 计 技 术 要 求
等级保护新标准(2.0)介绍
1
等级保护发展历程与展望
2
等级保护2.0标准体系
3
等级保护2.0基本要求解析
4
等级保护2.0扩展要求解析
等级保护发展历程与展望
等保1.0 等保2.0
时代
工作
展望
19942003 政策环境 2004- 营造 2006 工作开展 准备 20072010 工作正式 2010- 启动 2016 工作规模 推进
信 息 系 统 安 全 等 级 保 护 测 评 要 求 》
信 息 系 统 安 全 等 级 保 护 测 评 过 程 指 南


等级保护2.0标准体系
等保1.0 等保2.0
正式更名 为网络安 全等级保 护标准;
横向扩展 了对云计 算、移动 互联网、 物联网、 工业控制 系统的安 全要求;
纵向扩展 了对等保 测评机构 的规范管 理。
等级保护发展历程与展望
等保1.0 等保2.0
时代
工作
展望
等级保护2.0时代,将根据信息技术发展应用和网络安全态
势,不断丰富制度内涵、拓展保护范围、完善监管措施,逐步
健全网络安全等级保护制度政策、标准和支撑体系。
等级保护上升为法律

等级保护新标准(2.0)介绍

等级保护新标准(2.0)介绍

等级保护新标准(2.0)介绍等级保护新标准(2.0)介绍1. 简介本文档是关于等级保护新标准(2.0)的介绍。

该标准是为了加强信息安全等级保护,规范等级保护工作而制订的。

本标准以国家机密级别的保密需求为基础,结合相关法律法规和标准,制定了一系列可以实施的等级保护管理措施。

2. 适用范围适用于所有需要保护的信息系统和网络,包括政府机构、军队、企事业单位、金融机构、教育机构等。

3. 等级保护级别等级保护按照保护的信息系统的重要程度和保密需求,分为五个等级:一级、二级、三级、四级、五级。

其中,一级为最高等级,五级为最低等级。

4. 等级保护体系等级保护体系主要包括等级保护的组织、等级保护的管理、等级保护的技术和等级保护的评估四个方面。

其中等级保护的评估是整个体系的核心,它可以对等级保护管理的全过程进行监督和评估。

5. 等级保护管理措施等级保护管理措施主要包括等级保护的责任制、等级保护的人员管理、等级保护的物理安全、等级保护的网络安全、等级保护的应用安全等方面。

其中,等级保护的责任制是整个体系的核心,它明确了各级管理人员的职责和义务,保证了等级保护措施的实施。

6. 法律法规和标准等级保护涉及到多个法律法规和标准,包括《中华人民共和国保守国家秘密法》、《信息安全等级保护管理办法》、《信息安全技术等级保护基本要求》、《信息安全技术等级保护测评规范》等。

总结:1. 本文档所涉及简要注释如下:等级保护:对信息系统和网络进行分类和分级,并采取相应的安全保护措施,以确保信息系统和网络的安全。

等级保护体系:包括等级保护的组织、等级保护的管理、等级保护的技术和等级保护的评估四个方面,是确保等级保护有效实施的重要保障。

等级保护管理措施:包括等级保护的责任制、等级保护的人员管理、等级保护的物理安全、等级保护的网络安全、等级保护的应用安全等方面,是确保等级保护有效实施的具体措施。

2. 本文档所涉及的法律名词及注释:《中华人民共和国保守国家秘密法》:规定了国家秘密的保护范围和等级,确保国家秘密不被泄露。

等保2.0政策规范解读(63页 PPT )

等保2.0政策规范解读(63页 PPT )
c) 应能够对内部用户非授权联到外部网络的行为进行限制或检 查;
d) 应限制无线网络的使用,确保无线网络通过受控的边界防护设备 接入内部网络。
入侵防范
b) 应在关键网络节点处检测、防止或限制从内部发起的网络攻击行 为; (新增)
设计要求
测评要求
通用要求
云计算
物联网
移动互联
工业控制
7
。 share
等保2.0标准解读
勇 share
等级保护1.0和2.0对比
旧标准(等级保护1.0)
技术要求
物理安全 网络安全 主机安全 应用安全
管理要求
数据安全及备份恢复 安全管理制度 安全管理机构 人员安全管理 系统建设管理 系统运维管理
9
新标准(等级保护2.0)
无 入侵防范

a) 应采用校验码技术或密码技术保证通信过程中数据的完整性;
通信传输 b) 应采用密码技术保证通信过程中敏感信息字段或整个报文的保密 性。
a) 应保证跨越边界的访问和数据流通过边界防护设备提供的受控接 口进行通信;
边界防护
b) 应能够对非授权设备私自联到内部网络的行为进行限制或检 查;
3
4
6 防水和防潮
3
2
7 防静电
2
1
8 温湿度控制
1
4
9 电力供应
3
3
10 电磁防护
2
。 share
物理位置的选择
原控制项
新控制项
b)机房场地应避免设在建筑物的高层或 地下室,以及用水设备的下层或隔壁。 物理位置的选择
b)机房场地应避免设在建筑物的顶层或地下室, 否则应加强防水和防潮措施
防静电

等保2.0标准介绍ppt课件

等保2.0标准介绍ppt课件

病原体侵入机体,消弱机体防御机能 ,破坏 机体内 环境的 相对稳 定性, 且在一 定部位 生长繁 殖,引 起不同 程度的 病理生 理过程
目录
1 概述
2 安全通用要求 3 云计算安全扩展要求 4 移动互联安全扩展要求 5 物联网安全扩展要求 6 工业控制安全要求
病原体侵入机体,消弱机体防御机能 ,破坏 机体内 环境的 相对稳 定性, 且在一 定部位 生长繁 殖,引 起不同 程度的 病理生 理过程
选择
安全运维 管理
环境管理
资产管理
介质管理
设备维护管理 漏洞和风险 管理 网络和系统 安全管理
恶意代码防范 管理
配置管理
密码管理
变更管理 备份与恢复
管理 安全事件处置 应急预案管理
外包运维管理
病原体侵入机体,消弱机体防御机能 ,破坏 机体内 环境的 相对稳 定性, 且在一 定部位 生长繁 殖,引 起不同 程度的 病理生 理过程
病原体侵入机体,消弱机体防御机能 ,破坏 机体内 环境的 相对稳 定性, 且在一 定部位 生长繁 殖,引 起不同 程度的 病理生 理过程
新增领域标准
云计算安全
物联网安全
工业控制安全
大数据安全
移动互联安全
病原体侵入机体,消弱机体防御机能 ,破坏 机体内 环境的 相对稳 定性, 且在一 定部位 生长繁 殖,引 起不同 程度的 病理生 理过程
数据完整性 数据保密性 数据备份恢复 剩余信息保护 个人信息保护
病原体侵入机体,消弱机体防御机能 ,破坏 机体内 环境的 相对稳 定性, 且在一 定部位 生长繁 殖,引 起不同 程度的 病理生 理过程
GB/T 22239.1等级保护安全通用要求
安全管理中心 系统管理 审计管理 安全管理 集中管控

等级保护2.0讲解PPT【优质PPT】

等级保护2.0讲解PPT【优质PPT】

1
8 温湿度控制
1
9 电力供应
4
9 电力供应
3
10 电磁防护
3
10 电磁防护
2
原控制项
新控制项
b) 机房场地应避免设在建筑物的高层
物理位置的选择
或地下室,以及用水设备的下层或隔 壁。
物理位置的 选择
b) 机房场地应避免设在建筑物的顶层或 地下室,否则应加强防水和防潮措施
防静电

防静电
b) 应采取措施防止静电的产生,例如采 用静电消除器、佩戴防静电手环等。
技术 要求
基本要求子类
物理安全 网络安全
信息系统安全等级保护 级别
等保二级 等保三级
19
32
18
33
主机安全
19
32
应用安全
19
31
数据安全
4
8
管理 安全管理制度
7
11
要求
安全管理机构
9
20
人员安全管理
11
16
系统建设管理
28
45
系统运维管理
41
62
合计
/
175
290
基本 要求 大类 2.0
技术 要求
等级保护2.0介绍
什么是等级保护?
网络安全等级保护是指对国家重要信息、法人和其他组织及公民的 专有信息以及公开信息和存储、传输、处理这些信息的信息系统分 等级实行安全保护,对信息系统中使用的信息安全产品实行按等级 管理,对信息系统中发生的信息安全事件分等级响应、处置。
等级保护的划分
第一级 信息系统受到破坏后,会对公民、法人和其他组织 的合法权益造成损害,但不损害国家安全、社会秩序和公 共利益

等保2.0 资料ppt课件

等保2.0 资料ppt课件

等级保护的基本要求、测 评要求和安全设计技术要 求框架统一,即:安全管 理中心支持下的三重防护 结构框架
通用安全要求+新型应用 安全扩展要求,将云计 算、移动互联、物联网、 工业控制系统等列入标 准规范
将可信验证列入各级别和 各环节的主要功能要求
定级对象
等保进入2.0时代,保护对象从传统的网络和信息系统,向“云移物工大”上扩展,基 础网络、重要信息系统、互联网、大数据中心、云计算平台、物联网系统、移动互联 网、工业控制系统、公众服务平台等都纳入了等级保护的范围。
分 级 保 护
国家保密工
作部门
国家保密标
涉密 信息系统
(国家保密 局、各省保
密局、各地
准 (BMB,强
制执行)
地市保密局)
3个级别 秘密级 机密级(一般、增强) 绝密级
信息的重要性,以 信息最高密级确定 受保护的级别。
单项:保密局发的涉密单项资质 安全产品:保密局发的涉密检测报告 密码产品:国密局发的密码资质 防病毒软件:公安部的检测报告 军队:军用安全产品检测报告
等保2.0增加了可信计算的相关要求。 可信计算贯穿等保2.0从一级到四级 整个标准,在安全通信网络、安全 区域边界与安全计算环境中均有明 确要求。
2.0版主要变化
2. 安全监测能力
以信息安全事件为核心,通过对 网络和安全设备日志、系统运行数 据等信息的实时采集,以关联分析 等方式,实现对监测对象进行风险 识别、威胁发现、安全事件实时报 警及可视化展现。包含系统、设备、 流量、链路、威胁、攻击、审计等 维度。
网络安全法
第二十一条“国家实行网络安 全等级保护制度”,深化等保 制度重要举措。
等级保护与分级保护区别
适用对象 主管部门 标准体系

等级保护新标准(2.0)介绍

等级保护新标准(2.0)介绍

等级保护新标准(2.0)介绍等级保护新标准(2.0)介绍1. 引言等级保护是一种对信息进行分类和保护的方法,在信息管理和安全领域有着广泛应用。

为了适应快速发展的信息技术和信息系统,旨在介绍等级保护新标准(2.0),包括标准的背景、目的、适用范围、基本原则和标准要求等内容。

2. 标准背景等级保护新标准(2.0)是在等级保护(1.0)标准的基础上进行修订和完善而成。

鉴于信息系统的规模和复杂度不断增加,现有的等级保护标准已经不能满足相关需求,因此迫切需要制定新的标准。

3. 标准目的本标准的目的在于规范等级保护工作,明确保护信息的等级和控制措施,提高信息系统的安全性和可信度,确保信息的保密性、完整性和可用性。

4. 标准应用范围本标准适用于所有需要进行等级保护的信息系统,包括但不限于政府机构、企事业单位、科研机构以及其他组织。

5. 基本原则本标准制定基于以下基本原则:5.1 需求驱动原则:等级保护工作应以用户需求为导向,根据不同信息系统的特点和安全需求,制定相应的等级保护要求。

5.2 风险管理原则:等级保护工作应基于风险管理的方法,通过对信息资产的价值和威胁进行评估,确定等级保护方案。

5.3 分级管理原则:等级保护应按照信息的重要性和风险进行分级管理,确保信息系统的安全性和可信度。

5.4 统一标准原则:等级保护工作应按照国家和行业标准进行,确保等级保护的一致性和可比性。

6. 标准要求本标准主要包括以下方面的要求:6.1 等级保护分类:根据信息系统的重要性和对安全的需求,将信息分为不同的等级,确定相应的保护措施。

6.2 等级保护管理:建立等级保护管理制度,包括等级保护的组织架构、职责分工、评估审批流程等内容。

6.3 等级保护措施:根据不同等级的需求,确定相应的技术和管理措施,包括访问控制、加密算法、防火墙配置等。

6.4 安全评估和监测:建立安全评估和监测机制,对等级保护的效果进行评估,及时发现和解决安全问题。

等级保护新标准(2.0)介绍

等级保护新标准(2.0)介绍

等级保护新标准(2.0)介绍等级保护新标准(2.0)介绍1. 引言旨在介绍等级保护新标准(2.0),该标准是为了提高信息系统安全等级保护水平而制定的。

将详细描述该标准的内容、要求和实施过程,以便用户能够准确理解和执行该标准。

2. 标准概述等级保护新标准(2.0)是基于先前版本的标准进行改进和完善而制定的,旨在更好地应对当前复杂多变的安全威胁形势。

该标准主要包含以下方面的内容:2.1 等级分类等级保护新标准(2.0)将信息系统按照其重要程度和风险级别分为四个等级:基础等级、一般等级、重要等级和核心等级。

每个等级都有相应的安全措施和要求。

2.2 安全要求针对不同等级的信息系统,等级保护新标准(2.0)规定了相应的安全要求。

这些安全要求涵盖了物理安全、网络安全、用户权限管理、数据保护等多个方面。

2.3 审计和评估等级保护新标准(2.0)要求对信息系统进行定期审计和评估,以确保其符合标准要求。

评估内容包括信息系统设计、安全措施执行情况及风险评估等。

3. 实施过程为了更好地执行等级保护新标准(2.0),以下是实施过程的详细步骤:3.1 确定信息系统等级根据信息系统的重要程度和风险级别,确定其所属的等级。

3.2 分析安全要求针对所确定的等级,分析对应的安全要求,了解需要采取哪些安全措施。

3.3 设计安全策略根据分析结果,制定详细的安全策略,包括物理安全、网络安全、用户权限管理等方面的措施。

3.4 实施安全措施按照设计的安全策略,逐步实施各项安全措施。

3.5 审计和评估定期对信息系统进行审计和评估,确保其符合标准要求。

4. 附件所涉及的附件如下:- 附件1:等级保护新标准(2.0)相关表格和模板- 附件2:等级保护新标准(2.0)实施指南5. 法律名词及注释所涉及的法律名词及注释如下:- 法律名词1:注释说明1- 法律名词2:注释说明2- 法律名词3:注释说明36. 可能遇到的困难及解决办法在实际执行过程中,可能会遇到以下困难:6.1 资源限制由于资源有限,可能无法同时满足所有等级的安全要求。

新时代-等级保护2.0安全解决方案ppt课件

新时代-等级保护2.0安全解决方案ppt课件

三.技术和理论创新
按照“一个中心、三重防护”的总体 思路 开展网络安全技术设计
确立了可信计算技术的重要地位, 结合人工智能、密码保护、生物识 别、大数据分 析等高端技术,落实 网络安全管理要求、 技术要求、测 评要求、设计要求等。
8
THE BUSENESS PLAN
等级保护2.0安全保护实践
9

全 观 新标准
国家新标准出台并实施。
没有网络安全就没有国家安全 5
新时期国家网络安全等级保护制度的鲜明特点
一.两个全覆盖
一是覆盖各地区、各单位、各部门、 各企 业、各机构,即是覆盖全社会。
二是覆盖所有保护对象,包括网络、 信息 系统、信息,以及云平台、物 联网、工控系 统、大数据、移动互 联等各类新技术应用
《网络安全等级保护测评 要求》
GB/T 28448--2019
4
等级保护进入2.0时代典型标志

时 代
网络安全法
《网络安全法》规定“国家实行网络安全 等级保护制度”。标志 了等级保护制度的 法律地位。



新条例
公安部会同中央网信办、国家保密局和国 家密码管理局,联合起草 并上报了《网络安全等级保护条例》(草案)。
上网行为管理
管理区
管理区FW
接入区
接入用 户
接入用 户
接入用 户
运维审计系统 网络管理系统 日志审计系统 漏洞扫描系统 终端安全准 入系统
态势感知 CIS
13
THE BUSENESS PLAN
新等级保护差异变化
14
网络安全等级保护2.0-主要标准
等保 2.0
国家标准GB/T 22239—2008《信息安全技术 信息系统安全等级保护基本要求》在开展信息安全等级保护工作的过程 中起到了非常重要的作用,被广泛应用于各个行业和领域开展信息安全等级保护的建设整改和等级测评等工作,但是随 着信息技术的发展,GB/T 22239—2008在时效性、易用性、可操作性上需要进一步完善。 为了适应移动互联、云计算、大数据、物联网和工业控制等新技术、新应用情况下信息安全等级保护工作的开展,需对 GB/T 22239—2008进行修订,修订的思路和方法是针对移动互联、云计算、大数据、物联网和工业控制等新技术、 新应用领域提出扩展的安全要求。

等级保护新标准(2.0)介绍

等级保护新标准(2.0)介绍

等级保护发展历程与展望
等保1.0时代 等保2.0工作
展望
等级保护2.0时代,将根据信息技术发展应用和网络安全态势,不断丰富制度内涵、拓展保护范围、完善监 管措施,逐步健全网络安全等级保护制度政策、标准和支撑体系。
等级保护上升为法律
《中华人民共和国网络安全法》第21条规定“国家实行 网络安全等级保护制度”,要求“网络运营者应当按照网络 安全等级保护制度要求,履行安全保护义务”;第31条规定 “对于国家关键信息基础设施,在网络安全等级保护制度的 基础上,实行重点保护”。
等级保护发展历程与展望
等保1.0时代 等保2.0工作
展望
重要标志 2.0系列标 准编制工作
2020/11/7
• 2016年10月10日,第五届全国信息安全等级保护技术大召开,公安部网络安全保卫局郭启全总工 指出“国家对网络安全等级保护制度提出了新的要求,等级保护制度已进入2.0时代”。
• 2016年11月7日,《中华人民共和国网络安全法》正式颁布,第二十一条明确“国家实行网络安全 等级保护制度……”
层、现场控制层和过程监控层构成,其中: 生产管理层的定级对象确定原则见(其他信 息系统)。设备层、现场控制层和过程监控 层应作为一个整体对象定级,各层次要素不 单独定级。
对于大型工业控制系统,可以根据系统功能
、控制对象和生产厂商等因素划分为多个定 级对象。
独作为定级对象定级, 云租户侧的等级保护对象也 应作为单独的定级对象定级。 对于大型云计算平台,应将云计算基础设施和有关 辅助服务系统划分为不同的定级对象。
定级要求 ① 定级要求
新增定级流程
定级对象
重新对部分内容的顺序作了调整,从整体显得更加的合理。
增加了新的内容和流程,例如扩展了定级的对象,包括基础信息网络、工业控制系统、云计算平台、物联网、其他信息系统、 大数据等;新增加的流程为“定级工作一般流程”,并对旧版本“定级一般流程”更名为“定级方法流程”。

等级保护新标准(2.0)介绍

等级保护新标准(2.0)介绍

等级保护新标准(2.0)介绍等级保护新标准(2.0)介绍1. 引言本文档旨在介绍等级保护新标准(2.0),该标准作为一个全面的等级保护框架,可以匡助组织在处理敏感信息时确保一定的安全水平。

该标准包含了涉及的流程、要求和最佳实践,以及可能遇到的艰难和解决办法。

2. 背景随着信息技术的迅速发展,组织面临越来越多的信息安全挑战。

等级保护新标准(2.0)旨在提供一套统一、综合的信息安全等级管理方法,匡助组织达到保护敏感信息的最低安全要求。

3. 等级保护新标准(2.0)的主要内容3.1 标准的合用范围3.2 定义和术语3.3 等级保护框架3.3.1 等级保护目标3.3.2 等级保护要求3.3.3 等级保护控制措施3.3.4 等级保护评估3.3.5 等级保护认证3.3.6 等级保护追溯3.4 实施指南3.4.1 等级保护框架应用步骤 3.4.2 等级保护控制选择3.4.3 等级保护评估方法3.5 监管要求3.5.1 政府监管机构要求3.5.2 安全认证/评估机构要求3.5.3 行业监管要求4. 附件本文档所涉及的附件如下:附件A:等级保护目标详细说明附件B:等级保护要求清单附件C:等级保护控制措施指南附件D:等级保护评估流程图附件E:等级保护认证申请模板5. 法律名词及注释本文档所涉及的法律名词及注释如下:1. 数据保护法:指对个人数据进行保护的法律法规。

2. 信息安全法:指规范信息安全管理和保护的法律法规。

3. 网络安全法:指规范网络安全管理和保护的法律法规。

6. 实施过程中可能遇到的艰难及解决办法6.1 艰难:组织对等级保护新标准(2.0)的理解有偏差,导致实施过程中存在分歧。

解决办法:通过开展培训和沟通,确保组织对标准要求有清晰的理解,并制定统一的实施计划和指导文件。

6.2 艰难:组织缺乏相关技术和经验,无法有效评估和管理等级保护控制措施的实施情况。

解决办法:寻求专业的安全认证/评估机构的支持,进行评估和建议,同时加强内部能力建设,提高组织在信息安全管理方面的能力。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
• 2003年,中央办公厅、国务院办公厅颁发《国家信息化领导小组关于加强信息安全保障工作的意 见》(中办发[2003]27号)明确指出“实行信息安全等级保护”。
• 2004-2006年,公安部联合四部委开展涉及65117家单位,共115319个信息系统的等级保护基础 调查和等级保护试点工作,为全面开展等级保护工作奠定基础。
GA/T 1390.2—2017《信息安全技术 网络安全等级保护基本要求 第 2 部分:云计算安全扩展要求》
针对云计算架构的特点,对云计算环境下的物理位置、虚拟化网络、虚拟机、云服务方、云租户、虚拟镜像等技术保护要求,以及 云服务商选择、SLA协议、云安全审计等安全管理要求进行了规定。
GA/T 1390.3—2017 《信息安全技术 网络安全等级保护基本要求 第 3 部分:移动互联安全扩展要求》
针对移动互联网系统中移动终端、移动 应用和无线网络等三个关键要素,明确了无线接入设备的安装选择、无线接入网关处理能 力、非授权移动终端接入等技术保护要求,以及应用软件分发运营商选择、移动终端应用软件恶意代码防范等管理要求进行了规定。
GA/T 1390.5—2017 《信息安全技术 网络安全等级保护基本要求 第 5 部分:工业控制系统安全扩展要求》
长 的 时 间 隧 道,袅
等级保护新标准(2.0)介绍--ppt课件
1
等级保护发展历程与展望

2
等级保护2.0标准体系
3
等级保护2.0基本要求解析
4
等级保护2.0扩展要求解析
ppt课件
2
等级保护发展历程与展望
等保1.0时代 等保2.0工作
展望
• 1994年,国务院颁布《中华人民共和国计算机信息系统安全保护条例》,规定计算机信息系统实 行安全等级保护。
进 入 夏 天 ,少 不了一 个热字 当头, 电扇空 调陆续 登场, 每逢此 时,总 会想起 那 一 把 蒲 扇 。蒲扇 ,是记 忆中的 农村, 夏季经 常用的 一件物 品。 记 忆 中 的故 乡 , 每 逢 进 入夏天 ,集市 上最常 见的便 是蒲扇 、凉席 ,不论 男女老 少,个 个手持 一 把 , 忽 闪 忽闪个 不停, 嘴里叨 叨着“ 怎么这 么热” ,于是 三五成 群,聚 在大树 下 , 或 站 着 ,或随 即坐在 石头上 ,手持 那把扇 子,边 唠嗑边 乘凉。 孩子们 却在周 围 跑 跑 跳 跳 ,热得 满头大 汗,不 时听到 “强子 ,别跑 了,快 来我给 你扇扇 ”。孩 子 们 才 不 听 这一套 ,跑个 没完, 直到累 气喘吁 吁,这 才一跑 一踮地 围过了 ,这时 母 亲总是 ,好似 生气的 样子, 边扇边 训,“ 你看热 的,跑 什么? ”此时 这把蒲 扇, 是 那 么 凉 快 ,那么 的温馨 幸福, 有母亲 的味道 ! 蒲 扇 是 中 国传 统工艺 品,在 我 国 已 有 三 千年多 年的历 史。取 材于棕 榈树, 制作简 单,方 便携带 ,且蒲 扇的表 面 光 滑 , 因 而,古 人常会 在上面 作画。 古有棕 扇、葵 扇、蒲 扇、蕉 扇诸名 ,实即 今 日 的 蒲 扇 ,江浙 称之为 芭蕉扇 。六七 十年代 ,人们 最常用 的就是 这种, 似圆非 圆 , 轻 巧 又 便宜的 蒲扇。 蒲 扇 流 传 至今, 我的记 忆中, 它跨越 了半个 世纪, 也 走 过 了 我 们的半 个人生 的轨迹 ,携带 着特有 的念想 ,一年 年,一 天天, 流向长
《《《《《《
信 息 系 统 安 全 等 级 保 护 定 级 指 南 》
信 息 系 统 安 全 等 级 保 护 基 本 要 求 》
信 息 系 统 安 全 等 级 保 护 实 施 指 南 》
信 息 系 统 等 级 保 护 安 全 设 计 技 术 要 求
信 息 系 统 安 全 等 级 保 护 测 评 要 求 》
分析了工业控制系统的层次模型、区域模型,提出了工业控制系统安全域划分和保护的主要原则。并从物理提示标志、网络非必要 通信控制、系统时间戳等技术方面,以及工控系统管理员/工控网pp络t课管件理员/工控安全管理员岗位设置、工控设备的版本号漏洞控制等10 管理方面进行了规定。
未变化
修订内容
新增
ppt课件
8
等级保护2.0标准体系
等保1.0
等保2.0
公安部已于2017年5月率先发布《网络安全等级保护定级指南》、《网络安全等级保护基本要求 第5部分:工业 控制系统安全扩展要求》等4个行业标准。
GA/T 1389—2017《信息安全技术 网络安全等级保护定级指南》
在国标《信息安全等级保护定级指南》的基础上细化优化了对客体侵害事项、侵害程度的定义,确定了对基础信息网络、工业控制 系统 、云计算平台 、物联网、采用移动互联技术的信息系统 、大数据等对象的定级原则,进一步明确了定级过程中专家审查、主管 部门审核、公安机关备案审查等节点的管理要求。
,提出等级保护工作的阶段性目标。
• 2010年12月,公安部和国务院国有资产监督管理委员会联合出台《关于进一步推进中央企业信息
安全等级保护工作的通知》,要求中央企业贯彻执行等级保护工作。
ppt课件
3
等级保护2.0标准体系
等保1.0
等保2.0
GB 17859-1999 《计算机信息系统安全保护等级划分准则》
信 息 系 统 安 全 等 级 保 护 测 评 过 程 指 南


ppt课件
7
等级保护2.0标准体系
等保1.0

等保2.0
正式更名为网 络安全等级保 护标准;
横向扩展了对 云计算、移动 互联网、物联 网、工业控制 系统的安全要 求;
纵向扩展了对 等保测评机构 的规范管理。
( 注 : 基 于 2017 年等级保护标 准系列征求意 见稿)
• 2007年6月,四部门联合出台《信息安全等级保护管理办法》。 • 2007年7月,四部门联合颁布《关于开展全国重要信息系统安全等级保护定级工作的通知》。 • 2007年7月20日,召开全国重要信息系统安全等级保护定级工作部署专题电视电话会议,标志着信
息安全等级保护制度正式开始实施。
• 2010年4月,公安部出台《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》