等级保护2.0讲解.pptVIP

等级保护2.0介绍 什么是等级保护？ 网络安全等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。 等级保护的划分 第一级 信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益 第二级 信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全 第三级 信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害 第四级 信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害 第五级 信息系统受到破坏后，会对国家安全造成特别严重损害 等级保护工作主要的流程 一是定级 二是备案（二级以上的信息系统） 三是系统建设、整改 四是开展等级测评 五是信息安全监管部门定期开展监督检查 等级保护的对象演变 标准名称的变化 等保2.0将原来的标准《信息安全技术 信息系统安全等级保护基本要求》改为《信息安全技术 网络安全等级保护基本要求》，与《中华人民共和国网络安全法》中的相关法律条文保持一致 标准内容的变化 控制结构的变化 等级保护1.0 等级保护2.0 结构图 旧标准 技术要求 物理安全 网络安全 主机安全 应用安全 数据安全及备份恢复 管理要求 安全管理制度 安全管理机构 人员安全管理 系统建设管理 系统运维管理 新标准 物理和环境安全 技术要求 网络和通信安全 设备和计算安全 应用和数据安全 安全策略和管理制度 管理要求 安全管理机构和人员 安全建设管理 安全运维管理 控制点对比 基本要求大类1.0 基本要求子类 信息系统安全等级保护级别 等保二级 等保三级 技术要求 物理安全 10 10 网络安全 6 7 主机安全 6 7 应用安全 7 9 数据安全 3 3 管理要求 安全管理制度 3 3 安全管理机构 5 5 人员安全管理 5 5 系统建设管理 9 11 系统运维管理 12 13 合计 / 66 73 基本要求大类2.0 基本要求子类 信息系统安全等级保护级别 等保二级 等保三级 技术要求 物理和环境安全 10 10 网络和通信安全 7 8 设备和计算安全 6 6 应用和数据安全 9 10 管理要求 安全策略和管理制度 4 4 安全管理机构和人员 9 9 安全建设管理 10 10 安全运维管理 14 14 合计 / 69 71 要求项对比 基本要求大类1.0 基本要求子类 信息系统安全等级保护级别 等保二级 等保三级 技术要求 物理安全 19 32 网络安全 18 33 主机安全 19 32 应用安全 19 31 数据安全 4 8 管理要求 安全管理制度 7 11 安全管理机构 9 20 人员安全管理 11 16 系统建设管理 28 45 系统运维管理 41 62 合计 / 175 290 基本要求大类2.0 基本要求子类 信息系统安全等级保护级别 等保二级 等保三级 技术要求 物理和环境安全 15 22 网络和通信安全 16 33 设备和计算安全 17 26 应用和数据安全 22 34 管理要求 安全策略和管理制度 6 7 安全管理机构和人员 16 26 安全建设管理 25 34 安全运维管理 30 48 合计 / 147 230 总体上看，等保2.0通用要求在技术部分的基础上进行了一些调整，但控制点要求上并没有明显增加，通过合并整合后相对旧标准略有缩减。 　 　原控制点 要求项数 新控制点 要求项数 物理安全 1 物理位置的选择 2 物理和环境安全 1 物理位置的选择 2 2 物理访问控制 4 2 物理访问控制 1 3 防盗窃和防破坏 6 3 防盗窃和防破坏 3 4 防雷击 3 4 防雷击 2 5 防火 3 5 防火 3 6 防水和防潮 4 6 防水和防潮 3 7 防静电 2 7 防静电 2 8 温湿度控制 1 8 温湿度控制 1 9 电力供应 4 9 电力供应 3 10 电磁防护 3 10 电磁防护 2 原控制项 新控制项 物理位置的选择 b) 机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁。 物理位置的选择 b) 机房场地应避免设在建筑物的顶层或地下室，否则应加强防水和防潮措施 防静电 无 防静电 b) 应采取措施防止静电的产生，例如采用静电消除器、佩戴防静电手环等。(新增) 　 　原控制点 要求项数　 新控制点 要求项数 网络安全 1结构安全 7 网络和通信安全 1 网络架构 5 2访问控制 8 2通信传输 2 3安全审计 4 3边界防护 4 4边界完整性检查 2 4 访问