发展历程:
1994年,首次提出等级保护思路。
2007年43号文,推动了等保测评落地。
2017年6月1号,《网络安全法》正式实施,迈入等保2.0时代。
2019年5月13号,等保基本要求和测评要求标准正式发布。
定级指南、基本要求、测评要求,是最重要的三个标准。
等级保护的五个步骤:定级——备案——建设整改——等级测评——监督检查。
《基本要求》包括通用要求和扩展要求。
通用要求中,技术要求:一个中心,三重防护。
扩展要求中:
需要最多的是“云计算”测评,云服务方/云租户。
“移动互联”“物联网”“大数据”的比较少。
中关村信息安全测评联盟团标T/ISEAA 002-2021 信息安全技术 网络安全等级保护大数据基本要求
“工控系统”主要是现场设备层和现场控制层,可能用了几十年了,根本没法去动它,测评的时候漏扫、渗透测试可能都不敢做,一般没有测试环境,测评机构也不敢去动这些系统。
关键指标——一票否决项(如果适用):
(1)网页防篡改:应用层防护、页面内容监控等
(2)数据防泄漏:数据加密、数据脱敏、数据防勒索等
(3)业务防中断:抗DDOS攻击、系统服务监控、冗余技术等
(4)系统防勒索:补丁程序更新、系统加固、数据备份等
定级备案:
定级的三种方式:自主定级、行业主管要求、监管部门要求。不管是哪种方式,都要经过专家评审。
定级备案流程:确定定级对象——初步确定等级——专家评审——主管部门审核(如果所在单位没有主管部门,此环节可省略)——公安机关备案审查。
三大类定级对象:
(1)基础信息网络设施
(2)信息系统类型的(可能有扩展)
(3)数据资源类型(大数据)
确定定级对象的等级,需要八个步骤:
确定定级对象——确定“业务信息安全”受到破坏时的侵害客体(3类)——确定侵害程度(3种严重程度)——确定业务信息安全等级
确定定级对象——确定“系统安全”受到破坏时的侵害客体(3类)——确定侵害程度(3种严重程度)——确定系统服务安全等级
业务信息安全等级与系统服务安全等级,两者取高,作为定级对象的初步安全保护等级。
网友评论