合规过等保必知:信息安全等级保护政策规范(全)
为了合规通过等级保护,不少⼈问:信息安全等级保护政策或者标准到底有哪些?究竟以哪些作为依据?为了解决⼤家的这个难题,本篇⽂章为⼤家提供国家⽬前已经出台的关于等级保护的相关标准,可收藏!
⾸先需要明确的是,2019年12⽉1⽇起,等保相关标准正式实施,我国也正式进⼊等保2.0时代。相⽐等保1.0,等保2.0发⽣了很多变化,对于需要申办等级保护的企业来说,如果等保2.0有规定的,请参照等保2.0的最新规定来执⾏。当然,有⼀些标准,⽆论是等保1.0还是等保2.0.都是通⽤的。
⼀、等保1.0时代等级保护相关标准
1.《中华⼈民共和国⼈民警察法》规定:⼈民警察履⾏“监督管理计算机信息系统的安全保护⼯作”的职责。
2.国务院令第147号规定:“公安部主管全国计算机信息系统安全保护⼯作”,“等级保护的具体办法,由公安部会同有关部门制定”。
3.2008年国务院“三定”⽅案,赋予公安部“监督、检查、指导信息安全等级保护⼯作”法定职责。
4.《国家信息化领导⼩组关于加强信息安全保障⼯作的意见》(中办发[2003]27号)明确指出:实⾏信息安全等级保护。要重点保护基础信息⽹络和关系国家安全、经济命脉、社会稳定等⽅⾯的重要信息系统,抓紧建⽴信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南。
5、《国务院关于推进信息化发展和切实保障信息安全的若⼲意见》(国发[2012]23号):“落实信息安全等级保护制度,开展相应等级的安全建设和管理,做好信息系统定级备案、整改和监督检查。”
6.国家发改委、公安部、财政部、国家保密局、国家电⼦政务内⽹建设和管理协调⼩组办公室联合印发了《关于进⼀步加强国家电⼦政务⽹络建设和应⽤⼯作的通知》(发改⾼技[2012]1986号)
7.公安部、发改委和财政部联合印发的《关于加强国家级重要信息系统安全保障⼯作有关事项的通知》(公信安[2014]2182号)要求,加强对47个⾏业、276家单位、500个涉及国计民⽣的国家级重要信息系统的安全监管和保障。
《安防控体系建设的意见》要求:“完善国家⽹络安全监测预警和通报处置⼯作机制,推进完善信息安全等级保护制度”。
8.2014年12⽉,中办国办《关于加强社会治安防控体系建设的意见》要求:“完善国家⽹络安全监测预警和通报处置⼯作机制,推进完善信息安全等级保护制度”。
9.2014年12⽉中央批准实施的《关于全⾯深化公安改⾰若⼲重⼤问题的框架意见》指出, “推进健全信息安全等级保护制度,完善⽹络安全风险监测预警、通报处置机制”。
10.《中央⽹络安全和信息化领导⼩组2015年⼯作要点》中,要求“落实国家信息安全等级保护制度”。
⼆、等保2.0时代等级保护相关标准
1.《⽹络安全法》
需要申办等级保护的企业必须参照的其中⼀个标准是《⽹络安全法》,《⽹络安全法》其实早在2017年就发布了,应该算是等保1.0时期的标准,但由于这个⽐较重要,我们把它放在2.0时代来说。《⽹络安全法》明确规定信息系统运营、使⽤单位应当按照⽹络安全等级保护制度要求,履⾏安全保护义务,如果拒不履⾏,将会受到相应处罚。
《⽹络安全法》第⼆⼗⼀条规定:
国家实⾏⽹络安全等级保护制度。⽹络运营者应当按照⽹络安全等级保护制度的要求,履⾏下列安全保护义务,保障⽹络免受⼲扰、破坏或者未经授权的访问,防⽌⽹络数据泄露或者被窃取、篡改:
(1)制定内部安全管理制度和操作规程,确定⽹络安全负责⼈,落实⽹络安全保护责任;
(1)制定内部安全管理制度和操作规程,确定⽹络安全负责⼈,落实⽹络安全保护责任;
(2)采取防范计算机病毒和⽹络攻击、⽹络侵⼊等危害⽹络安全⾏为的技术措施;
(3)采取监测、记录⽹络运⾏状态、⽹络安全事件的技术措施,并按照规定留存相关的⽹络⽇志不少于六个⽉;
(4)采取数据分类、重要数据备份和加密等措施;
(5)法律、⾏政法规规定的其他义务。
《⽹络安全法》第三⼗⼋条规定:
关键信息基础设施的运营者应当⾃⾏或者委托⽹络安全服务机构对其⽹络的安全性和可能存在的风险每年⾄少进⾏⼀次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护⼯作的部门。
《⽹络安全法》第五⼗九条规定:
⽹络运营者不履⾏本法第⼆⼗⼀条、第⼆⼗五条规定的⽹络安全保护义务的,由有关主管部门责令改
正,给予警告;拒不改正或者导致危害⽹络安全等后果的,处⼀万元以上⼗万元以下罚款,对直接负责的主管⼈员处五千元以上五万元以下罚款。
关键信息基础设施的运营者不履⾏本法第三⼗三条、第三⼗四条、第三⼗六条、第三⼗⼋条规定的⽹络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害⽹络安全等后果的,处⼗万元以上⼀百万元以下罚款,对直接负责的主管⼈员处⼀万元以上⼗万元以下罚款。
2.GB/T 22239-2019 《信息安全技术⽹络安全等级保护基本要求
该项标准是等级保护标准体系的核⼼,对2008版标准中提出的基本要求进⾏了修改完善,形成安全通⽤要求;对云计算、⼤数据、移动互联、物联⽹、⼯业控制等新技术和新应⽤领域,提出了安全扩展要求。
3.GB/T25070-2019 《信息安全技术⽹络等级保护安全设计技术要求》
该标准主要对共性安全保护⽬标提出通⽤安全设计技术要求,该标准适⽤于指导运营使⽤单位、⽹络安全企业、⽹络安全服务机构开展⽹络安全等级保护安全技术⽅案的设计和实施,也可作为⽹络安全职能部门进⾏监督、检查和指导的依据。
4.GB/T28448-2019 《信息安全技术⽹络安全等级保护测评要求》
该标准与等级保护基本要求保持⼀致,主要明确了测评对象、测评判定规则等内容。该标准为安全测评服务机构、等级保护对象的主管部门及运营使⽤单位对等级保护对象的安全状况进⾏安全测评提供指南。信息安全监管职能部门进⾏⽹络安全等级保护监督检查时参考使⽤。
5.《GBT 22240-2020信息安全技术⽹络安全等级保护定级指南》
2020年4⽉28⽇,国家市场监督管理总局和国家标准化管理委员会发布了《GBT 22240-2020信息安全技术⽹络安全等级保护定级指南》,且该指南将于2020年11⽉1⽇正式实施。该指南主要是对信息系统的定级指引,包含内容有:等级保护对象介绍、定级要素与安全保护等级的关系、定级流程、不同保护对象的定级说明等。

更多推荐

保护,要求,国家,标准,相关,技术,对象,制度