CIS2019-等保2.0论坛-宋好好-1128.pdfVIP

网络安全等级保护2.0标准解读 宋好好公安部第三研究所博士/研究员/高级测评师 网络安全等级保护制度 网络安全法——网络安全等级保护制度 第二十一条 国家实行网络安全等级保护 （一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任； 制度。网络运营者应当按照网络安全等 级保护制度的要求，履行下列安全保护 （二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施； 义务，保障网络免受干扰、破坏或者未 经授权的访问，防止网络数据泄露或者 （三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；（日志留存） 被窃取、篡改： 网络安全法——网络安全等级保护制度 第二十一条 国家实行网络安全等级保护 制度。网络运营者应当按照网络安全等 （四）采取数据分类、重要数据备份和加密等措施；（数据安全） 级保护制度的要求，履行下列安全保护 义务，保障网络免受干扰、破坏或者未 经授权的访问，防止网络数据泄露或者 （五）法律、行政法规规定的其他义务。 被窃取、篡改： 网络安全法——网络安全等级保护制度 第三十一条 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重 要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国 计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。 关键信息基础设施的具体范围和安全保护办法由国务院制定。 （CII必须落实国家等级保护制度， 突出保护重点） 国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。 相关的等级保护标准 GB/T 22239-2019 GB/T 22240-XXXX GB/T 25058-2019 GB/T 25070-2019 GB/T 28448-2019 GB/T 28449-2018 GB/T 36627-2018 信息安全技术网络 信息安全技术网络 信息安全技术网络 信息安全技术网络 信息安全技术网络 信息安全技术网络 信息安全技术网络 安全等级保护基本 安全等级保护定级 安全等级保护实施 安全等级保护设计 安全等级保护测评 安全等级保护测评 安全等级保护测试 要求 指南 指南 技术要求 要求 过程指南 评估技术指南 网络安全等级保护标准体系 《测评要求》规范不同 等级保护对象要求的测 评获取证据方法，测评 指标源自 《基本要求》。 《基本要求》规范不同等级保护对象的最 低保护要求，即 “基线要求”，包括安全 《设计技术要求》提出不同等级保护 技术和安全管理两方面。 对象安全规划设计的目标、策略和技 术要求。 《测评过程指南》规范等 级保护测评过程和方法。 相关的等级保护标准 GB/T 22239-2019 GB/T 22240-XXXX