等级保护解决方案(2.0).docx

等级保护2.0解决方案

——始于合规、忠于安全

什么是等级保护

根据信息、信息系统在国家安全、经济建设、社会生活中的重要程度；遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度；

将信息系统划分为不同的安全保护等级并对其实施不同的保护和监管。(从第一级到第五级，逐级增高。)

第五级第四级第三级

第五级

第四级

第三级

第二级

第一级

专控保护

强制保护

监督保护

指导保护

自主保护

自主保护

等级保护发展历程

起步

中华人民共和国计算机信息系统安全保护条例（1994年2月18日中华人民共和国国务院令147号）

1999年发布《计算机信息系统安全保护等级划分准则》强制性标准

2003年9月中办国办颁发《关于加强信息安全保障工作的意见》（中办发[2003]27号）

2004年11月四部委会签《关于信息安全等级保护工作的实施意见》（公通字

[2004]66号）

2005年9月国信办文件《关于转发《电子政务信息安全等级保护实施指南》的通知》（国信办[2004]25号）

发展

2006年1月四部委会签《关于印发《信息安全等级保护管理办法的通知》（公通字[2006]7号）

2007年6月公安部、保密局、国密局、国信办联合印发《信息安全等级保护管理办法》（公通字[2007]43号）

2007年7月《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安[2007]861号）2008年发布GB/T22239—2008《信息系统安全等级保护基本要求》GB/T22240-2008《信息系统安全等级保护定级指南》

推行

2009年公安部发文《关于开展信息系统等级保护安全建设整改工作的指导意见》（公信安[2009]1429号）

2010年3月公安部发文《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》（公信安[303]号）

各行业行业等级保护标准

演进

2017年6月1日，《网络安全法》正式实施。标志等级保护制度提升为法律要求。

2018年8月，等保2.0系列标准修订完成报批；

2019年5月10正式发布，12月1日实施

经过25年的发展，公安网安部门组织建立了等级保护的领导体系、政策体系、标准体系和技术支撑体系，监督、检查、指导重点行业、部门开展网络安全等级保护工作，有效提升了国家关键信息基础设施的安全保护能力。

等级保护2.0标准体系

网络安全等级保护定级指南

网络安全等级保护行业定级细则

网络安全等级保护安全设计技术要求网络安全等级

网络安全等级保护安全设计技术要求

网络安全等级

保护测评过程指南

网络安全等级保护实施指南

网络安全等级保护实施指南

网络安全等级保护测评要求

网络安全等级

方法指导

方法指导

状况分析

整改工作

基线

要求

网络安全等级保护基本要求的行业细则

网络安全等级保护基本要求（GB/T22239-

网络安全等级保护基本要求（GB/T22239-2019）

计算机信息系统安全保护等级划分准则（

计算机信息系统安全保护等级划分准则（GB17859）

等级保护1.0VS2.0

标准体系名称变化

?《信息安全技术信息系统安全等级保护基本要求》改为《信息安全技术网络安全等级保护基本要求》，与网络安全法一致；（Informationsystemcybersecurity）

?等级保护对象的扩展

?基本要求（GB/T22239-2018）的内容由一个基本要求变化成包含云计算、移动互联、物联网、工业控制系统的新基本要求；

定级矩阵的改变

定级流程的变化

?运营、使用单位应组织信息安全专家和业务专家，对初步定级结果的合理性进行评审，出具专家评审意见。

备案机关调整到县级以上公安机关

等级保护1.0VS2.0

等保2.0能解决什么问题

新的安全风险

新技术新应用防护

APT攻击无线安全

APT攻击

无线安全

内容安全

个人信息管辖权

移动互联网

工业控制系统物联网

大数据

国家法律法规

《网络安全法》

第二十一条：国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改…

第五十九条:网络运营者不履行本法第二十一条、

第二十五条规定的网