等保2.0解读ppt课件

等保1 0 等保2 0标准对比 1 等级保护发展历程简介 第九条 计算机信息系统实行安全等级保护 1994年 国务院147号令 信息安全保障纲领性文件 第二条 实行信息安全等级保护 2003年 中办发27号文 强制性标准 规定了我国计算机信息系统安全保护能力的五个等级 1999年 GB17859 第二十一条 国家实行网络安全等级保护制度 2017年 网络安全法 等保与 网络安全法 及应对思路 第二十一条国家实行网络安全等级保护制度 网络运营者应当按照网络安全等级保护制度的要求 履行下列安全保护义务 保障网络免受干扰 破坏或者未经授权的访问 防止网络数据泄露或者被窃取 篡改 一 制定内部安全管理制度和操作规程 确定网络安全负责人 落实网络安全保护责任 二 采取防范计算机病毒和网络攻击 网络侵入等危害网络安全行为的技术措施 三 采取监测 记录网络运行状态 网络安全事件的技术措施 并按照规定留存相关的网络日志不少于六个月 四 采取数据分类 重要数据备份和加密等措施 五 法律 行政法规规定的其他义务 第三十一条国家对公共通信和信息服务 能源 交通 水利 金融 公共服务 电子政务等重要行业和领域 以及其他一旦遭到破坏 丧失功能或者数据泄露 可能严重危害国家安全 国计民生 公共利益的关键信息基础设施 在网络安全等级保护制度的基础上 实行重点保护 关键信息基础设施的具体范围和安全保护办法由国务院制定 关键信息基础设施的安全保护等级不低于第三级 不做等保就是违法 违反 网络安全法 需承担相关法律责任 第五十九条网络运营者不履行本法第二十一条 第二十五条规定的网络安全保护义务的 由有关主管部门责令改正 给予警告 拒不改正或者导致危害网络安全等后果的 处一万元以上十万元以下罚款 对直接负责的主管人员处五千元以上五万元以下罚款 关键信息基础设施的运营者不履行本法第三十三条 第三十四条 第三十六条 第三十八条规定的网络安全保护义务的 由有关主管部门责令改正 给予警告 拒不改正或者导致危害网络安全等后果的 处十万元以上一百万元以下罚款 对直接负责的主管人员处一万元以上十万元以下罚款 网络安全法 部分执法案例 信息来源 公安三所网络安全法律研究中心 微信公众号 等级保护工作实施流程 1 确定信息系统的安全防护等级 形成定级报告 2 持定级报告和备案表到当地公安机关网监部门进行备案 3 参照信息系统当前等级要求和标准 对信息系统进行整改加固 4 委托具备测评资质的测评机构对信息系统进行等级测评 形成正式的测评报告 5 向当地公安机关网监部门提交测评报告 配合完成对信息安全等级保护实施情况的检查 信息来源 中国网络安全等级保护网 等保2 0来了 业界重新洗牌 大家都在同一起跑线上 等保2 0标准发布情况介绍 1 等保2 0核心变化介绍 9 等级保护2 0时代 2016年10月10日 第五届等级保护大会在昆明召开 业界一致认为 本次大会的召开 标志着等级保护进入2 0时代 标准历程 2014年初 公安部牵头组织信息技术新领域等级保护标准申报工作 2015年初 标委会批准立项 建议形成基本要求和测评要求的系列标准 2015年中 标委会批准设计要求修订立项 形成设计要求系列标准 2017年初 草案经信安标委会投票通过 成为公开征求意见稿 4月推进为送审稿 10 核心变化 重点保障关键信息基础设施 11 保护需求变化 2020 4 21 面对关键信息基础设施 等级保护 基本要求 需要创新发展 适应新型的系统形态和网络架构面对新技术新应用的扩展使基本指标具有动态 可扩展性从合规测评到CIIP安全状态评价 12 管理策略的变化 围绕关键信息基础设施保护特点 信息安全等级保护的管理策略也将发生相应变化 自主定级 自主保护 监督指导 明确等级 增强保护 常态监督 13 保护方法的变化 通用要求中的基本指标行业标准的增加 增强指标新技术 新应用的扩展指标定级对象的特殊安全需求指标 从基本安全 到相对安全 从统一基线 到针对性保护 14 等级保护2 0 围绕关键信息基础设施保护 信息安全等级保护制度进入新的历史阶段 等级保护2 0时代 2 0时代 等级保护空前重要 我们要顺势而为 2 0时代 等级保护制度上升为法律2 0时代 等级保护对象大扩展2 0时代 等级保护内容大不同2 0时代 等级保护体系大升级 15 定级对象大扩展 2020 4 21 定级对象信息系统 业务处理类对象信息系统 工业控制系统 物联网系统等基础服务类对象网络 云服务平台 大数据分析平台等数据资源类对象 16 定级指南 修订 定级对象的扩展定级方法的变化 17 定级方法的变化 云服务方的云平台与云租户的应用系统应分别定级 平台等级不低于所承载的应用系统的安全保护等级 移动互联应用 物联网应用和工业控制系统依据业务系统重要性确定等级 18 等级保护体系大升级 2020 4 21 19 等保内容大不同 2020 4 21 20 与时俱进的等级保护工作 运营使用单位 厂商 测评机构 监管机构 21 信息系统 重要程度 危害程度 网络基础设施 信息系统 大数据 云计算 物联网 移动互联 工控系统等 第三级 不同等级的安全保护对象 22 组织方式 等保1 0 23 组织方式 等保2 0 24 级差 控制点的分布 25 级差 控制项的分布 26 2 等保2 0核心标准介绍 27 等保2 0标准解读 28 安全通用要求 2020 4 21 29 物理安全 物理与环境安全 三级 2020 4 21 30 网络安全 网络与通信安全 三级 2020 4 21 31 网络安全 网络与通信安全 续 三级 2020 4 21 32 主机安全 节点与计算安全 三级 2020 4 21 33 应用安全 应用和数据安全 三级 2020 4 21 34 应用安全 应用和数据安全 续 三级 2020 4 21 35 二级主要变化 2020 4 21 36 三级 主要变化1 2020 4 21 37 三级 主要变化2 2020 4 21 38 标准变化小结 2020 4 21 39 云计算安全扩展要求简介 40 云计算安全扩展要求 2020 4 21 41 网络和通信安全 2020 4 21 42 设备和计算安全 2020 4 21 43 应用和数据安全 2020 4 21 44 云的定级对象 系统定级对象 平台定级对象 云服务方的云平台与云租户的应用系统应分别定级 平台等级不低于应用的安全保护等级 云平台先定级测评 再将已定级应用系统向云平台迁移 云上应用定级参照传统信息系统 45 云计算与传统等保保护对象差异 2020 4 21 46 云平台与云上系统保护差异 2020 4 21 47 云计算环境下等级保护的变化 控制项变化 2020 4 21 IaaS服务通用要求 除物理与环境安全外的所有要求 扩展要求 网络和通信安全 设备和计算安全 应用和数据安全 系统安全建设管理 PaaS SaaS服务通用要求 应用和数据安全 部分安全管理要求扩展要求 应用和数据安全 48 对云平台的要求 云计算安全扩展要求 云平台运营方应该做到哪些才能符合等级保护云计算扩展要求 49