等保介绍
等保发展历程
1994
国务院147号令
第一次提出等级保护概念,要求对信息系统分等级进行保护
1999
GB17859
国家强制标准发布,信息系统等级保护必须遵循的法规
2005
公安部四大标准
基本要求》 《定级指南》《实施指南》 《测评标准》
2007
公通字[2007]43号
等级保护管理办法发布,明确如何建设、如何监管以及如何选择服务商等
2015
工作要点
中央网信领导小组2015年工作要求、落实国家信息安全等级保护制度
2017
《网络安全法》
第二十一条“国家实行网络安全等级保护制度”。该法是深化网络安全等级保护制度重要举措,2017年6月1日起施行。
2019
《信息安全技术网络安全等级保护基本要求》
等保2.0在2019年12月1日正式实施
为什么要做等级保护——免责
做了,出事,是天灾(没有绝对的安全),不做出事,是人祸
注意,渗透测试只是等保的一小块
责任更清晰
完成等保测评意味着公安机关认可你的安全现状,一旦发生安全事件是意外。如果没有进行等级保护测评意味着你没有达到国家要求,一旦发生安全事件,用户单位将承担主要责任,网监部门会直接进行比较严厉的处罚。
安全建设体系化(自身安全预防)
以等级保护为标准开展安全建设,可以让单位自身安全建设更加体系化,可以从物理、网络、主机、应用和数据多个方面成体系的进行安全建设,再也不是头痛医头脚痛医脚,对本单位的安全建设有整体的规划和思路。
如何做等级保护-相关标准
基础类
《计算机信息系统安全保护等级划分准则》GB 17859-1999
《信息系统安全等级保护实施指南》 GB/T25058-2010
应用类
定级:《信息系统安全保护等级定级指南》GB/T 22240-2008
建设:《信息系统安全等级保护基本要求》GB/T 22239-2008
《信息系统通用安全技术要求》GB/T 20271-2006
《信息系统等级保护安全设计技术要求》
测评:《信息系统安全等级保护测评要求》 GB/T28448-2012
《信息系统安全等级保护测评过程指南》 GB/T28449-2012
管理:《信息系统安全管理要求》GB/T 20269-2006
《信息系统安全工程管理要求》GB/T 20282-2006
等级保护建设中的角色
首先是公安部门老大哥
测评机构可以在等保网站查询
一到三级都是测评机构做,四五级都是公安做
用户单位就是我们常说的甲方
厂商
卖设备,提供修改 ,升级服务
互相之间不能涉及对方业务
等级保护工作大概流程
定级备案 差距评估 整改建设 等级测评