移动端
微信公众号
- 安徽省公众电子认证有限公司 版权所有
- 支持单位:淮南市市场监督管理局 淮南市数据资源管理局
- ICP备案号: 皖ICP备 2022003407号
一、等保2.0背景
当前网络安全形势严峻,网络安全事件频发,全球网络面临着各种新的挑战,与此同时,伴随我国信息化发展进入新阶段,云计算、物联网、大数据等新技术新应用已经较为成熟,并大规模应用,新技术在促进科技发展的同时也带来新的安全风险,原有安全防护体系的适应性和防护能力出现不足。为应对网络安全面临的全新形势和挑战,我国发布《中华人民共和国网络安全法》,于2017年6月1日起正式施行,《网络安全法》进一步明确了信息化发展与网络安全并重的原则,指出“国家实行网络安全等级保护制度”,“对关键信息基础设施在网络安全等级保护制度的基础上,实行重点保护”,并“保证安全技术措施同步规划、同步建设、同步使用”。
网络安全等级保护制度是我国在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度,其2.0版本也于2019年12月1日正式实施,除对原有标准要求进行了提升外,增加了对于云计算、移动互联、物联网、工业控制和大数据的安全扩展要求,至此等级保护核心系列标准基本修订完成,目前基于网络安全等级保护的安全建设已经成为系统运营使用单位重要的基础性工作。
二、等级保护测评的定义
是一种合规性测评,通过访谈、检查和测试的方法,获取测评对象的安全证据,通过数据分析判断测评对象是否符合相应标准、规范、政策的要求的综合性技术。
三、等级保护测评的必要性
能够抵御威胁、发现安全事件以及在遭到损害后能够恢复先前状态等的程度。
四、等级保护测评政策依据及标准规范
五、等级保护测评对象
关键基础设施网络:电信网、广播电视网、互联网。
关键基础设施信息系统:能源、教育、公安、测绘地理信息、社保、交通、卫生计生、金融等涉及国计民生和基础信息资源的重要信息系统。
重要工业控制系统:核设施、航空航天、先进制造、石油石化、油气管网、电力系统、交通运输、水利枢纽、城市设施等重要工业控制系统。
面向社会服务的政务信息系统:党政机关和使用财政性资金的事业单位和团体组织使用的面向社会服务的信息系统。
六、等级保护建设流程
等级保护的保障体系包括技术和管理两大部分,其中技术部分根据《网络安全等级保护基本要求》(GB/T 22239-2019)分为安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心五个方面;而管理部分则分为安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理五个方面。
整个安全保障体系各部分既有机结合,又相互支撑,之间的关系可以理解为“构建安全管理机构,制定完善的安全管理制度及安全策略,由相关人员,利用技术手段及相关工具,进行系统建设和运行维护”。
根据整体工作要求,等级保护工作通过五个阶段开展:
七、等级保护测评方法
测试是指评估人员通过对评估对象按照预定的方法/工具使其产生特定的响应等活动,查看、分析响应输出结果,获取证据以证明信息系统安全等级保护措施是否有效的一种方法。
八、等级保护测评工作流程
等级测评过程分为四个基本测评活动:测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动。而测评双方之间的沟通与洽谈应贯穿整个等级测评过程。
