等保2.0-资料ppt课件.docx

等保2.0

运营管理中心

发展历程

发展历程

等保2.0相关标准系列《通用要求》

等保2.0相关标准系列

《通用要求》《测评要求》

。。。等级保护管理办法发布，明确如何建设、如何监管和如何选择服务商等；为开展信息安全等级保护工作提供了规范保障

。。。

1994

2007

2017

2019

国务院147号令

网络安全法

第一次提出等级保护的概念；

第二十一条“国家实行网络

第九条：计算机信息系统实

安全等级保护制度”，深化

行安全等级保护

等保制度重要举措。

等级保护与分级保护区别

等级保护与分级保护区别

适用对象

主管部门

标准体系

等级级别

定级依据

资质要求

测评周期

等级保护

非涉密

信息系统

公安机关

国家标准（GB、GB/T）

5个级别

第一级（自主保护）第二级（指导保护）第三级（监督保护）第四级（强制保护）第五级（专控保护）

重要业务系统与承载业务运行的网络、设备、系统及单位属性、遭到破坏后所影响的主、客体

关系等。

测评：公安部备案的具有测评资质的机构。

安全产品：等保三级以上系统，应优先考虑国内安全产品，除非国外安全产品无法使用国内产品替代时，才允许使用国外安全产品。

二级→每2年（建议）

三级以上→每年

分级保护

涉密

信息系统

国家保密工作部门

（国家保密局、各省保密局、各地地市保密局）

国家保密标

准

（BMB，强制执行）

3个级别

秘密级

机密级（一般、增强）绝密级

信息的重要性，以

信息最高密级确定受保护的级别。

集成：保密局发的涉密集成资质

单项：保密局发的涉密单项资质

安全产品：保密局发的涉密检测报告

密码产品：国密局发的密码资质

防病毒软件：公安部的检测报告

军队：军用安全产品检测报告全部禁止使用国外安全产品

秘密、机密→

每2年

绝密→每年

等级保护《网络安全等级保护条例》

等级保护

《网络安全等级保护条例》

受侵害的客体

对响应客体的侵害程度

一般损害

严重损害

特别严重损害

公民、法人和其他组织的合法权益

第一级

第二级

第三级

社会秩序、公共利益

第二级

第三级

第四级

国家安全

第三级

第四级

第五级

测评周期

测评周期

.20等级保护安全框架

.

20等级保护安全框架

等级保护的基本要求、测

等级保护的基本要求、测评要求和安全设计技术要求框架统一，即：安全管理中心支持下的三重防护结构框架

通用安全要求

通用安全要求+新型应用安全扩展要求，将云计算、移动互联、物联网、工业控制系统等列入标准规范

将可信验证列入各级别和

将可信验证列入各级别和各环节的主要功能要求

定级对象

定级对象

等保进入

等保进入2.0时代，保护对象从传统的网络和信息系统，向“云移物工大”上扩展，

基础网络、重要信息系统、互联网、大数据中心、云计算平台、物联网系统、移动互

联网、工业控制系统、公众服务平台等都纳入了等级保护的范围。

定级对象

定级对象

工作流程

工作流程

步骤：确定定级对象，初步确认定级对象，专家评审，主管部门审核、公安机关备案审查。

参照信息系统当前等级要求

参照信息系统当前等级要求和标准，对信息系统进行整改加固。

委托具备测评资质的测评机

委托具备测评资质的测评机构进行等级测评，形成正式的测评报告。

持定级报告和备案表到当地公安机关网监部门进行备案。

等级测评备案定级建设

等级测评

备案

定级

监督检查

向当地公安机关网监部门提交测评报告，配合完成对网络安全等级保护实施情况的检查。

工作流程

定级

.20版主要变化

.

20版主要变化

《信息安全技术网络安全等级保护基本要求》

《信息安全技术网络安全等级保护基本要求》

上升到网络空间安全层面

《信息安全技术信息系统安全等级保护基本要求》

名称变化

信息系统、

信息系统、基础信息网络、云计算平台、大数据平台、物联网系统、

工业控制系统、采用移动互联技术的网络等

信息系统

定级对象变化

安全通用要求与安全扩展要求

安全要求变化

安全要求

.20版主要变化

.

20版主要变化

技术（物理环境、一中心三防护）+管理

技术（物理环境、一中心三防护）+管理

技术（物理、网络、主机、应用、数据）+管理

控制措施

分类结构

变化

五个规定动作+新的安全要求

安全要求变化

等保五个规定动作

.20版主要变化

.

20版主要变化

2.01.01.

2.0

1.0

1.物理安全

2.网络安全

3.主机安全

4.应用安全

5.数据安全

1.安全物理环境

2.安全通信网络

3.安全区域边界

4.