网络安全等级保护v2.0详解.pptx

网络安全等级保护v2.0详解 目录 Contents 等保2.0标准发布背景 01 02 03 04 等保2.0的主要变化 等保2.0测评工作变化 如何开展等保2.0 目录 Contents 等保2.0标准发布背景 01 等保2.0标准发布背景 等保1.0 等保2.0 《关于信息安全 等级保护工作的 实施意见》 《计算机信息系 统安全保护等级 《信息系统安全等 级保护基本要求》 (GB/T 22239- 2008) 《网络安全等级保 护基本要求》 GB/T 22239- 2019 关于加强信息安 全保障工作的意 见(中办发 信息安全等级 保护管理办法 （公通字 划分准则》 《中华人民共和国计 算机信息系统安全保 护条例》 （公通字 （GB17859） [2004]66号） 《网络安全法》 [2003]27号) [2007]43号) （国务院147号令） 2008年 2019.5.10 2004年 1999年 进一步明确 《网络安全等级 保护基本要求》 正式发布 强制性标准 ：本标准规 定了我国计 算机信息系 统安全保护 能力的五个 等级 等保标准体系建 立，等保工作全 面开展 2007年 了信息安全 等级保护制 度的职责分 工和工作的 要求等基本 内容 1994年 2003年 2016年 明确了信息安 信息安全保障 纲领性文件， 明确指出“实 行信息安全等 级保护“主要 任务 第九条“计算机 信息系统实行安 全等级保护”首 次提出了等级保 护的概念 第二十一条“国 家实行网络安全 等级保护制度” ，从法规上升到 法律层面 全等级保护的 五个动作，为 开展等级保护 工作提供了规 范保障 等保2.0标准发布背景 安全保护等级的含义 保护对象等级 重要程度 监督管理强度等级 安全保护能力等级 威胁源 损害 恢复 个人、拥有很少资源 一般的自然灾难 恢复 第一级 第二级 一般网络 一般网络 自主保护级 指导保护级 第一级安全保护能力 第二级安全保护能力 关键资源损害 重要资源损害 部分功能 小型组织、拥有少量资源 一般的自然灾难 在一段时间内恢复 部分功能 有组织的团体、拥有较为丰富资 源 较快恢复 第三级 重要网络 监督保护级 第三级安全保护能力 第四级安全保护能力 主要资源损害 资源损害 绝大部分功能 较为严重的自然灾难 国家级、敌对组织、拥有丰富资 源 迅速恢复 所有功能 第四级 第五级 特别重要网络 极其重要网络 强制保护级 专控保护级 严重的自然灾难 未公布 《网络安全等级保护条例》 （征求意见稿） 《网络安全等级保护基本要求》 《关于信息安全等级保护工作的实施意见》 （GB/T 22239-2019） （公通字[2004]66号） 等保2.0标准发布背景 等保1.0标准的发布已经超过10多年了，已不适用于快速发展的信息化、IT技术。 标准在适用性、时效性、可操作性等方面的存在缺陷。 国际ISO27000系列和美国NIST SP800-53系列等安全标准在2013年、2014年 都发布了新的版本，同时欧盟也新推出了GDPR标准(通用数据保护条例)。国际 信息安全行业标准都在不断的升级变化，反观我国仍在使用2008年的标准。 《网络安全法》于2017年6月1日实施，明确了国家采用网络安全等级保护制度。 但是等级保护1.0标准对于网络安全的覆盖面并不完善，并不适应云计算、大数 据、移动互联、 物联网、工控等领域的安全要求 等保2.0标准发布背景 等保2.0标准发布背景 《网络安全法》将等级保护上升到法律高度 一审 二审 三审 发布 十二届全国人大常委会 第十五次会议 公开征求 意见 十二届全国人大常委会 第二十一次会议 公开征求 意见 十二届全国人大常委会 第二十四次会议 2015.6.26 2015.7.6 2015.8.5 2016.6.28 2016.7.5 2016.8.4 2016.10.31 2016.11.7 • 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求， 履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据 泄露或者被窃取、篡改。 第二十一条 总则 网络安全支持与促进 • 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要 行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安 全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上， 实行重点保护。 第三十一条 第五十九条 网络运行安全 网络信息安全 监测预警与应急处置 法律责任 第四章 • 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的，由有关 主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处一