*{             width:660px;             margin:0 auto; }

快速导航×

等保测评2.0时代,企业等级保护要如何落实?信息安全等级保护的5个级别有哪些?


2020-09-21 14:38:43141 作者:等保测评小编

我是一名渗透安全工程师,对于等保2.0的出台有自己的一些看法和总结。大体上等级保护的出台是为了有效利用社会资源实现不同等级的不同保护。2.0的出现规范化细分化了一些企业的责任,涵盖的范围更广,物联网,互联网,工控安全等等。并且如果有企业出现了信息泄露的信息安全事故,现在更加严格,会被网络有关部门追责。现在更加规范化了信息安全和企业安全,对大家对以后的发展是好事。


44b07cd462627a7893ebc3bc9906a2ce.jpg


等级保护是什么

网络安全等级保护是国家信息安全保障的基本制度、基本策略、基本方法。网络安全等级保护工作是对信息和信息载体按照重要性等级分级别进行保护的一种工作。信息系统运营、使用单位应当选择符合国家要求的测评机构,依据《信息安全技术网络安全等级保护基本要求》等技术标准,定期对信息系统开展测评工作。

为什么要做等级保护

(一)法律规章要求

《网络安全法》明确规定信息系统运营、使用单位应当按照网络安全等级保护制度要求,履行安全保护义务,如果拒不履行,将会受到相应处罚。

(二)行业要求

在金融、电力、广电、医疗、教育等行业,主管单位明确要求从业机构的信息系统要开展等级保护工作。

(三)企业系统安全的需求

信息系统运营、使用单位通过开展等级保护工作可以发现系统内部的安全隐患与不足之处,可通过安全整改提升系统的安全防护能力,降低被攻击的风险。


等级保护涉及范围

(一)省辖市以上党政机关的重要网站和办公信息系统;

(二)电信、广电行业的公用通信网、广播电规传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统;

(三)铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。


关于等保2.0的部分新变化

等保2.0将原来的标准《信息安全技术信息系统安全等级保护基本要求》 改为《信息安全技术网络安全等级保护基本要求》,与《中华人民共和国网络安全法》中的相关法律条文保持一致。

等保2.0调整各个级别的安全要求为安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求和工业控制系统安全扩展要求。

下图为等保1.0和等保2.0控制措施分类结果的变化:

等保2.0的测评内容

等级保护测评分为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全人员管理、安全建设管理、安全运维管理十个层面。

等保测评整改,一定要找专业有资质的服务商。


信息安全等级保护的5个级别有哪些

第一级:用户自主保护级。它的安全保护机制使用户具备自主安全保护的能力,保护用户的信息免受非法的读写破坏。 
第二级:系统审计保护级。除具备第一级所有的安全保护功能外,要求创建和维护访问的审计跟踪记录,是所有的用户对自己行为的合法性负责。 
第三级:安全标记保护级。除继承前一个级别的安全功能外,还要求以访问对象标记的安全级别限制访问者的访问权限,实现对访问对象的强制访问。 
第四级:结构化保护级。在继承前面安全级别安全功能的基础上,将安全保护机制划分为关键部分和非关键部分,对关键部分直接控制访问者对访问对象的存取,从而加强系统的抗渗透能力。 
第五级:访问验证保护级。这一个级别特别增设了访问验证功能,负责仲裁访问者对访问对象的所有访问活动。


网络安全等级保护与信息安全等级保护的区别:

信息安全等级保护

网络安全等级保护。《网络安全法》第二十一条是我国在法律层面上首次提出“网络安全等级保护制度”这一概念,但《网络安全法》并未进一步阐明该制度的内涵,也未说明该制度的具体等级划分标准及实施办法。与此相关的是,在《网安法》出台之前,我国已通过相关法规确立了信息安全等级保护制度,对包含网络在内的计算机信息系统实施共分五级的安全保护,这项制度在涉及网络安全的范围内,与《网络安全法》确立的网络安全等级保护制度存在着重叠部分。鉴于《网络安全法》的规定尚不明确,我们目前暂无法判断网络安全等级保护制度与信息安全等级保护制度之间的具体关系,在关于网络安全等级保护制度的细化法规出台之前,建议相关企业参照信息安全等级保护制度的规定对企业进行合规审查整改,毕竟网络安全等级保护制度已经上升为法律层面上的强制性义务。