目录
等保标准
等保定级
发展
等保标准
2016年11月发布的《网络安全法》第二十一条提出“国家实行网络安全等级保护制度”。
等级保护标准体系:
(1)安全等级类标准
主要包括GB/T 22240-2008《信息安全技术 信息系统安全保护等级保护定级指南》 和 各类行业定义准则。
(2)方法指导类标准
主要包括GB/T 25058-2010《信息安全技术 信息系统安全等级保护实施指南》 (该标准于2010年颁布,主要是针对等级保护评估进行规范,其中包括了等级保护评估流程、评估方法、评估报告等方面的内容。)和 GB/T 25070-2010 《信息系统等级保护安全设计技术要求》等。
(其中《等级保护实施指南》原以公安部政策文件方式发布,后经修改以标注发布。)
(3)状况分析类标准
主要包括GB/T 28448-2012《信息安全技术 信息系统安全等级保护测评要求》 和 GB/T 28449-2012《信息安全技术 信息系统安全等级保护测评过程指南》等。
(其中在等级保护试点工作期间还发布过《等级保护测评准则》等文件,后经过修改以《等级保护测评要求》发布。)
(4)基线要求类标准
主要包括GB/T 22239-2008《信息安全技术 信息系统安全等级保护基本要求》(该标准于2008年颁布,主要对等级保护的理论体系和技术框架进行了完善,比如增加了安全性评估、风险评估等内容。)、GB/T 20271-2006《信息系统通用安全技术要求》、GB/T 21052-2007《信息系统物理安全技术要求》、GB/T 20272-2006《信息系统安全管理要求》、GB/T 20272-2006《操作系统安全技术要求》等数十份。
(其中,以《等级保护基本要求》为核心,在其下可以细分为就技术类、管理类和产品类等标准,分别对某些专门技术、管理和产品进行要求。)
等保定级
(1)定级:
计算机信息系统安全保护等级根据计算机信息系统在国家安全、经济建设、社会生活中的重要程度,计算机信息系统受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定,分为五级。
第一级:计算机信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级:计算机信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级:计算机信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级:计算级信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
(2)备案:
新建第二级以上信息系统,应当在投入运行后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
等保备案流程图例:
*系统定级:信息系统运营使用单位按照《信心系统安全等级保护定级指南》,确定信息系统安全等级。有主管部门的,报主管部门审核批准。在申报系统新建、改建、扩建立项时需同时向立项审批部门提交定级报告。
*系统备案:已运行的系统在安全保护等级确定后30日内,由其运营、使用单位到所在地社区的市级以上公安机关办理备案手续。新建的系统,在通过立项申请后30日内办理。
*颁发证书:公安机关颁发系统等级保护备案证书。
*分析安全需求:对照等保有关规定和标准分析系统安全建设整改需求,可委托安全服务机构、等保技术支持单位分析。对于整改项目,还可委托测评机构通过等保测评、风险评估等方法分析整改需求。
*建设整改:根据需求制定建设整改方案,按照国家相关规范和技术标准,使用符合国家有关规定,满足系统等级需求,开展信息系统安全建设整改。
*等保测评:选择第三方测评机构进行测评。其中对于新建系统可以试运行阶段进行测评。
*提交报告:系统运营、使用单位向地级以上市公安局测评报告。项目验收文档也需还有测评报告。
*等保测评:定期选择第三方测评机构进行测评。三级系统每年至少一次,四级系统每半年至少一次。
(3)安全建设和整改
计算机信息系统规划、设计、建设和维护应当同步落实相应的安全措施。运营、使用单位应当按照国家信息安全等级保护管理规范和技术标准,使用符合国家有关规定,满足信息系统安全保护等级需求的信息技术产品,开展信息系统安全建设或者改建工作。
(4)信息安全等级测评
在信息系统建设完成以后,二级以上的信息系统的运营使用单位应当选择符合国家规定的测评机构进行测评,合格后方可投入使用。已投入运行信息系统的完成系统整改后也应当进行测评。经测评,信息系统安全状况为达到安全部保护等级要求的,运营使用单位应当制订方案进行整改。
发展
网络安全等级保护是指根据我国网络安全法的要求,对关键信息基础设施按照一定的标准进行分级保护的措施。其发展历史可以大致分为以下几个阶段:
1,初期阶段(20世纪90年代至21世纪初):在这个阶段,我国开始建立自己的网络安全保护体系,首先提出了网络安全等级保护的概念,并制定了一些标准和规范。
- 政策出台(1994-1999):
1994年国务院颁布的《计算机信息系统安全保护条例》规定:计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门指定。
1999年国家强制标准GB 17859-1999《计算机信息系统安全保护等级划分准则》发布,正式细化了对计算机系统采用划分等级进行保护的要求。
当时安全保护对象主要以计算机信息系统安全为主,划分了5个级别,从低到高分别为用户自主保护、系统审计保护、安全标记保护、结构化保护、访问验证保护。
- 等级保护工作试点(2002-2006):
2002年7月18日,公安部在GB 17859的基础上。又发布实施了5个公安行业等级保护标准发,分别是GA/T 387 -2002《计算机信息系统安全等级保护网络技术要求》、GA388-2002《计算机信息系统安全等级保护操作系统技术要求》、GA/T 389-2002《计算机信息系统安全等级保护数据库管理系统技术要求》、GA/T 390-2002《计算机信息系统安全等级保护通用技术要求》、GA 391-2002《计算机信息系统安全等级保护管理要求》,形成我国计算机信息系统安全等级保护系列标准的最初一部分。
(在原国家计委《计算机信息系统安全保护等级评估认证体系》及《互联网络电子身份认证管理与安全保护平台试点》项目的支持下,公安部牵头从2003年1月开始在全国范围内开展了等级保护试点工作,逐步摸索计算机信息系统安全等级保护的法律体系、技术体系和评估、执法保障体系,并开展了-一些关键技术和基础性研究工作。)
2,中期阶段(21世纪初至中期):在这个阶段,我国加强了网络安全等级保护的标准和技术,制定了一系列标准和规范,如《关键信息基础设施安全保护指南》等。
- 等级保护相关政策文件颁布(2004-2009)
2004年,公安部、保密局、密码委、信息办联合发文《关于信息安全等级保护工作的实施意见的通知》(公通字[2004]66号),初步规定了信息安全等级保护工作的指导思想、原则、要求。该通知将信息和信息系统的安全保护等级划分为五级:第一级:自主保护级;第二级:指导保护级;第三级:监督保护级;第四级:强制保护级;第五级:专控保护级。
2007年,公安部、保密局、密码委、信息办联合发文《信心安全等级保护管理办法》,更加系统地规定了信息安全等级保护制度,同时也正式规定了我国对于所有非涉密信息系统采用等级保护标准的要求。同时对于涉及国家机密的信息系统也以不低于等级保护三级的标准进行设计和建设。
- 等级保护相关标准发布(2008-2014)
以GB/T 22239-2008《信息安全技术 信息系统安全等级保护基本要求》和 GB/T 22240-2008《信息安全技术 信息系统安全等级保护定级指南》发布为标准,等级保护制度正式进入了标准体系建设的阶段。截至2014年已经发布了80余份相关等级保护国家标准,更多行业标准也在指定之中。
3,后期阶段(21世纪中期至今):在这个阶段,我国进一步加强了网络安全等级保护的技术和标准,不断完善和优化体系。同时,为了更好地保护国家的关键信息基础设施,我国还出台了《网络安全法》,明确了网络安全等级保护的法律地位。
- 《网络安全法》明确我国实行网络安全等级保护制度(2016)
2016年11月发布的《网络安全法》第二十一条提出“国家实行网络安全等级保护制度”。正式宣告在网络空间安全领域,我国将等级保护制度作为基本国策。
正式针对信息系统的等级保护标准变更为针对网络安全的等级保护标准。