网络安全等级保护相关标准及发展

目录

等保标准

等保定级

发展


等保标准

2016年11月发布的《网络安全法》第二十一条提出“国家实行网络安全等级保护制度”。

等级保护标准体系:

(1)安全等级类标准

主要包括GB/T 22240-2008《信息安全技术  信息系统安全保护等级保护定级指南》各类行业定义准则

(2)方法指导类标准

主要包括GB/T 25058-2010《信息安全技术  信息系统安全等级保护实施指南》 (该标准于2010年颁布,主要是针对等级保护评估进行规范,其中包括了等级保护评估流程、评估方法、评估报告等方面的内容。)和  GB/T 25070-2010 《信息系统等级保护安全设计技术要求》等。

(其中《等级保护实施指南》原以公安部政策文件方式发布,后经修改以标注发布。)

(3)状况分析类标准

主要包括GB/T 28448-2012《信息安全技术  信息系统安全等级保护测评要求》 GB/T 28449-2012《信息安全技术  信息系统安全等级保护测评过程指南》

(其中在等级保护试点工作期间还发布过《等级保护测评准则》等文件,后经过修改以《等级保护测评要求》发布。)

(4)基线要求类标准

主要包括GB/T 22239-2008《信息安全技术  信息系统安全等级保护基本要求》(该标准于2008年颁布,主要对等级保护的理论体系和技术框架进行了完善,比如增加了安全性评估、风险评估等内容。)GB/T 20271-2006《信息系统通用安全技术要求》GB/T 21052-2007《信息系统物理安全技术要求》GB/T 20272-2006《信息系统安全管理要求》GB/T 20272-2006《操作系统安全技术要求》等数十份。

(其中,以《等级保护基本要求》为核心,在其下可以细分为就技术类、管理类和产品类等标准,分别对某些专门技术、管理和产品进行要求。)

等保定级

(1)定级:

        计算机信息系统安全保护等级根据计算机信息系统在国家安全、经济建设、社会生活中的重要程度,计算机信息系统受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定,分为五级。

        第一级:计算机信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。

        第二级:计算机信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。

        第三级:计算机信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。

        第四级:计算级信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。

(2)备案:

        新建第二级以上信息系统,应当在投入运行后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。

等保备案流程图例:

*系统定级:信息系统运营使用单位按照《信心系统安全等级保护定级指南》,确定信息系统安全等级。有主管部门的,报主管部门审核批准。在申报系统新建、改建、扩建立项时需同时向立项审批部门提交定级报告。

*系统备案:已运行的系统在安全保护等级确定后30日内,由其运营、使用单位到所在地社区的市级以上公安机关办理备案手续。新建的系统,在通过立项申请后30日内办理。

*颁发证书:公安机关颁发系统等级保护备案证书。

*分析安全需求:对照等保有关规定和标准分析系统安全建设整改需求,可委托安全服务机构、等保技术支持单位分析。对于整改项目,还可委托测评机构通过等保测评、风险评估等方法分析整改需求。

*建设整改:根据需求制定建设整改方案,按照国家相关规范和技术标准,使用符合国家有关规定,满足系统等级需求,开展信息系统安全建设整改。

*等保测评:选择第三方测评机构进行测评。其中对于新建系统可以试运行阶段进行测评。

*提交报告:系统运营、使用单位向地级以上市公安局测评报告。项目验收文档也需还有测评报告。

*等保测评:定期选择第三方测评机构进行测评。三级系统每年至少一次,四级系统每半年至少一次。

(3)安全建设和整改

计算机信息系统规划、设计、建设和维护应当同步落实相应的安全措施。运营、使用单位应当按照国家信息安全等级保护管理规范和技术标准,使用符合国家有关规定,满足信息系统安全保护等级需求的信息技术产品,开展信息系统安全建设或者改建工作。

(4)信息安全等级测评

在信息系统建设完成以后,二级以上的信息系统的运营使用单位应当选择符合国家规定的测评机构进行测评,合格后方可投入使用。已投入运行信息系统的完成系统整改后也应当进行测评。经测评,信息系统安全状况为达到安全部保护等级要求的,运营使用单位应当制订方案进行整改。

发展

网络安全等级保护是指根据我国网络安全法的要求,对关键信息基础设施按照一定的标准进行分级保护的措施。其发展历史可以大致分为以下几个阶段:

1,初期阶段(20世纪90年代至21世纪初):在这个阶段,我国开始建立自己的网络安全保护体系,首先提出了网络安全等级保护的概念,并制定了一些标准和规范。

  • 政策出台(1994-1999):

         1994年国务院颁布的《计算机信息系统安全保护条例》规定:计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门指定。

         1999年国家强制标准GB 17859-1999《计算机信息系统安全保护等级划分准则》发布,正式细化了对计算机系统采用划分等级进行保护的要求。

        当时安全保护对象主要以计算机信息系统安全为主,划分了5个级别,从低到高分别为用户自主保护、系统审计保护、安全标记保护、结构化保护、访问验证保护。

  • 等级保护工作试点(2002-2006):

        2002年7月18日,公安部在GB 17859的基础上。又发布实施了5个公安行业等级保护标准发,分别是GA/T 387 -2002《计算机信息系统安全等级保护网络技术要求》GA388-2002《计算机信息系统安全等级保护操作系统技术要求》GA/T 389-2002《计算机信息系统安全等级保护数据库管理系统技术要求》GA/T 390-2002《计算机信息系统安全等级保护通用技术要求》GA 391-2002《计算机信息系统安全等级保护管理要求》,形成我国计算机信息系统安全等级保护系列标准的最初一部分。

 (在原国家计委《计算机信息系统安全保护等级评估认证体系》及《互联网络电子身份认证管理与安全保护平台试点》项目的支持下,公安部牵头从2003年1月开始在全国范围内开展了等级保护试点工作,逐步摸索计算机信息系统安全等级保护的法律体系、技术体系和评估、执法保障体系,并开展了-一些关键技术和基础性研究工作。)

 2,中期阶段(21世纪初至中期):在这个阶段,我国加强了网络安全等级保护的标准和技术,制定了一系列标准和规范,如《关键信息基础设施安全保护指南》等。

  • 等级保护相关政策文件颁布(2004-2009)

2004年,公安部、保密局、密码委、信息办联合发文《关于信息安全等级保护工作的实施意见的通知》(公通字[2004]66号),初步规定了信息安全等级保护工作的指导思想、原则、要求。该通知将信息和信息系统的安全保护等级划分为五级:第一级:自主保护级;第二级:指导保护级;第三级:监督保护级;第四级:强制保护级;第五级:专控保护级。

2007年,公安部、保密局、密码委、信息办联合发文《信心安全等级保护管理办法》,更加系统地规定了信息安全等级保护制度,同时也正式规定了我国对于所有非涉密信息系统采用等级保护标准的要求。同时对于涉及国家机密的信息系统也以不低于等级保护三级的标准进行设计和建设。

  • 等级保护相关标准发布(2008-2014)

GB/T 22239-2008《信息安全技术 信息系统安全等级保护基本要求》 GB/T 22240-2008《信息安全技术  信息系统安全等级保护定级指南》发布为标准,等级保护制度正式进入了标准体系建设的阶段。截至2014年已经发布了80余份相关等级保护国家标准,更多行业标准也在指定之中。

3,后期阶段(21世纪中期至今):在这个阶段,我国进一步加强了网络安全等级保护的技术和标准,不断完善和优化体系。同时,为了更好地保护国家的关键信息基础设施,我国还出台了《网络安全法》,明确了网络安全等级保护的法律地位。

  • 《网络安全法》明确我国实行网络安全等级保护制度(2016)

2016年11月发布的《网络安全法》第二十一条提出“国家实行网络安全等级保护制度”。正式宣告在网络空间安全领域,我国将等级保护制度作为基本国策。

正式针对信息系统的等级保护标准变更为针对网络安全的等级保护标准。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/340284.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

汽车IVI中控开发入门及进阶(二十五):CVBS视频流

前言: AHD和CVBS是两种视频格式,在车载摄像头中,有支持传统CVBS模拟视频的摄像头,也有支持新的高分辨率AHD格式的摄像头。 CVBS视频是经典的模拟视频格式,在视频经常显示在小型监视器上的车辆上仍然最受欢迎。如果想要车辆的最大分辨率,可选择AHD格式,即高分辨率模拟视…

启智CV机器人,ROS,ubuntu 20.04 【最后一步有问题】

资料: https://wiki.ros.org/kinetic/Installation/Ubuntu https://blog.csdn.net/qq_44339029/article/details/120579608 装VM。 装ubuntu20.04 desktop.iso系统。 装vm工具: sudo apt update sudo dpkg --configure -a sudo apt-get autoremove o…

守护任务用来防止资源冲突

背景:有三个任务,他们都需要操作数码管。每个任务对应三个数码管,共9个数码管。硬件上9个数码管的控制使用一套硬件完成。 策略:每个任务都往自己的队列里面发数据,单独建立一个监听任务:处理所有队列的数…

网络编程(七)

网络编程(七) UNIX域套接字(本地间进程间通信的技术)(S文件)基于TCP传输基于UDP传输 UNIX域套接字(本地间进程间通信的技术)(S文件) socket同样也可以用于本…

echarts-series的x,y轴的规则

series的data与x,y轴的匹配规则 如果series的data为[1,2,3,4,5,6] 1.如果x,y轴都是类目轴,且data没有与x,y轴的值匹配上,则无效。 2.如果x,y轴都为类目,data中能够跟类目轴上的字符串对应上,轴,有效。 3.如果都为value.,则按数值…

掌握Element UI:加速你的网页设计过程!

Element UI 是一套为开发者、UI/UX设计师和产品经理准备的采用Vue 2.0作为基础框架实现的组件库,提供配套的设计资源,可以帮助设计快速成型。即时设计也内置Element UI Kit资源,但有些小伙伴还是对此不太了解,接下来本文会详细带你…

“神经网络之父”和“深度学习鼻祖”Geoffrey Hinton

“神经网络之父”和“深度学习鼻祖”Geoffrey Hinton在神经网络领域数十年如一日的研究,对深度学习的推动和贡献显著。 一、早期贡献与突破 反向传播算法的引入:Hinton是将反向传播(Backpropagation)算法引入多层神经网络训练的…

室内外无缝定位技术:连接虚拟与现实的新桥梁

随着科技的快速发展,人们对于位置信息的精确度和实时性要求日益提高。在这样一个背景下,室内外无缝定位技术应运而生,成为连接虚拟与现实世界的关键桥梁。它不仅为人们提供了更加便捷、高效的生活体验,还推动了物联网、智能制造等…

Java面试八股之怎么降低锁竞争

怎么降低锁竞争 减少锁的持有时间: 尽量缩短线程持有锁的时间,只在必要时才获取锁,一旦操作完成立即释放锁。可以通过将同步代码块的范围缩小到最小必要程度来实现,避免在锁保护的代码块中执行耗时操作或等待操作,比如…

Java集合基础知识点系统性总结篇

目录 集合一、图解集合的继承体系?([图片来源](https://www.cnblogs.com/mrhgw/p/9728065.html))点击查看大图二、List,Set,Map三者的区别?三、List接口的实现3.1、Arraylist 、 LinkedList、Vector3.2、Arraylist 、 LinkedList、…

MacOS - 为什么 Mac 安装软件后安装包在桌面上无法删除?

只要你将这磁盘里面的软件放到应用程序里面去了,那么用鼠标选中这个跟磁盘一样的东西,然后按下键盘上的 Command E 即可移除桌面上的这个磁盘。

气压、湿度、震动开关、声音、红外火焰传感器 | 配合Arduino使用案例

BMP180 气压传感器 BMP180 是一种用于测量气压的科学仪器。可以获取到温度、气压、海拔。 先在 arduino ide 中安装依赖 /****** Arduino 接线 ***** Arduino 传感器* VCC 5v* GND GND* A4 SDA * A5 SCL ***********************/#include &l…

ubuntu使用oh my zsh美化终端

ubuntu使用oh my zsh美化终端 文章目录 ubuntu使用oh my zsh美化终端1. 安装zsh和oh my zsh2. 修改zsh主题3. 安装zsh插件4. 将.bashrc移植到.zshrcReference 1. 安装zsh和oh my zsh 首先安装zsh sudo apt install zsh然后查看本地有哪些shell可以使用 cat /etc/shells 将默…

③单细胞学习-pbmc的Seurat 流程

目录 1,数据读取 2,线粒体基因查看 3,数据标准化 4,识别高变基因 5,进行数据归一化 6,进行线性降维 7,确定细胞簇 8,UMAP/tSNE降维(保存pbmc_tutorial.rds&#…

如何用TCC方案轻松实现分布式事务一致性

本文作者:小米,一个热爱技术分享的29岁程序员。如果你喜欢我的文章,欢迎关注我的微信公众号“软件求生”,获取更多技术干货! 哈喽,大家好!我是小米,一个热爱技术的活力小青年,今天要和大家分享的是一种在分布式系统中实现事务的一种经典方案——TCC(Try Confirm Canc…

第一篇 逻辑门(与门、或门、非门、异或门)

一、实验目的 了解DE1-SOC开发板一些外设。 掌握常用组合逻辑门电路的基本原理。 学习Verilog HDL的基本语法。 学习使用ModelSim工具对设计的电路进行仿真,包括编写Testbench仿真代码,以及ModelSim工具的使用。 熟悉使用Quartus软件从创建Quartus工…

汽车MCU虚拟化--对中断虚拟化的思考(2)

目录 1.引入 2.TC4xx如何实现中断虚拟化 3.小结 1.引入 其实不管内核怎么变,针对中断虚拟化无非就是上面两种,要么透传给VM,要么由Hypervisor统一分发。汽车MCU虚拟化--对中断虚拟化的思考(1)-CSDN博客 那么,作为车规MCU龙头…

Docker基础篇之将本地镜像发布到私有库

文章目录 1. Docker Registry简介2. 将本地镜像推送到私有库 1. Docker Registry简介 Docker Registry是官方提供的工具,可以用于构建私有镜像仓库。 2. 将本地镜像推送到私有库 下载Docker Registry docker pull registry现在我们可以从镜像中看到下载的Regist…

Go语言垃圾回收(GC原理)

1. GC回收机制 1.1 V1.3标记清除法 (1)概述 1.STW暂停 STW(暂停业务逻辑,找出可达和不可达对象) 2.对可达对象做上标记 标记完成之后,对象5和对象6不可达,被GC清除.之后STW结束. (2).缺点 STW :让程序暂停,程序出现卡顿.标记需要扫描整个heap.清除数据会产生heap碎片. 1.…

【 0 基础 Docker 极速入门】镜像、容器、常用命令总结

Docker Images(镜像)生命周期 Docker 是一个用于创建、部署和运行应用容器的平台。为了更好地理解 Docker 的生命周期,以下是相关概念的介绍,并说明它们如何相互关联: Docker: Docker 是一个开源平台&#…