目录
等级的定义:
工作流程
测评结果
等保2.0的结构
等保2.0变化
等保:对信息或者信息载体按照重要性等级分级别进行保护。
等级的定义:
根据等级保护对象在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等,由低到高划分为五个安全保护等级。 五个级别 第一级:自主保护级第二级:系统审计保护第三级:安全标记保护级第四级:结构化保护级第五级:访问验证保护级涉密等级 第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。保护等级 一级:企业自我保护二级:国家政策指导保护三级:国家监督保护,定期监督检查四级:国家强制保护,专人监督五级:国家专控保护,直接管理
工作流程
信息系统定级备案安全建设整改等级测评监督检查
测评结果
高危风险在等保测评中拥有一票否决权,一旦出现高危风险,则测评结果直接从不符合(差)开始。 依据——《网络安全等级保护测评高风险判定指引》
等保2.0的结构
技术要求 安全物理环境安全通信网络安全区域边界安全计算环境安全管理中心管理要求 安全管理制度安全管理机构安全管理人员安全建设管理安全运维管理
等保2.0变化
名称的变化:信息安全技术信息系统安全等级保护——信息安全技术网络安全等级保护定级的变化: 定级对象:信息系统——基础信息网络、移动互联网技术平台、云计算、物联网、工业控制、大数据应用等等级: 安全体系的变化:防御体系发生了变化,变被动防护为主动防护,变静态防护为动态防护,变单点防护为整体防控,变粗放防护为精准防护,强调事前预防、事中响应、事后审计。标准要求的变化:首次加入可信计算,并且分级逐级提出可采用可信验证的要求。新增个人信息保护。测评的变化: 测评周期:三级系统每年一次,四级系统每半年一次——三级以上系统每年一次测评结果:60分以上基本符合——70分以上基本符合
