等保 全称是网络安全等级保护,分为两个阶段
等保1.0 1994年国务院147令《中华人民共和国计算机信息系统安全保护条例》
等保2.0 2017年 网络安全法,21条规定的 国家实行网络安全等级保护制度,等保进入了有法可依阶段。
2019年国标22239-2019版正式发布 12月1日 正式实施
等保分为5级
第一级 用户自主保护 个人
第二级 系统审计保护 外部小型组织 内部系统
第三级 安全标记保护 外部有组织的黑客团体 对外系统
第四级 结构化保护 国家级黑客攻击
第五级 访问验证保护 涉密系统
等保整体流程:定级备案->整改->测评->监督检查
定级->定级报告,专家评审记录(二级及以上系统需要专家评审)、主管部门审核, 国标 22240-2020 网络安全等级保护定级指南,保护对象损害后侵害的客体:国家安全、社会秩序和公共利益、公民法人和其它组织合法权益,侵害程度 一般,严重,特别严重
备案->公安机关 备案表,公司信息,系统信息(有多少设备,安全防护设备,网络架构图等)
整改->按照等保要求进行整改
测评->有资质的权威机构进行测评 ,等保3级 网络、主机、应用、数据、物理、制度等 291个测评项,每项0~5符合、基本符合、不符合。优90良80中70差70,不允许有高风险项
测评对象:安全通用要求/安全扩展要求(云/移/物/工/大)
技术:物理/通信/区域边界/计算环境/安全中心
管理:制度/机构/人员/安全运维
复测:二级系统1次/2年,三级1次/1年,四级1次/半年
测评费用根据咱们实际情况 20~30w 编写材料,汇报,领导审核
物理机房: 访问控制/防火/防盗/ups电力系统
建设:设备要冗余,链路传输加密,备份,日志审计(身份鉴别/访问控制/安全审计),防护设备(防火墙,防病毒,网络/主机监控 解决入侵/恶意代码/病毒)
GB 17859-1999 计算机信息系统安全保护等级划分准则
GB-T 22239-2019 信息安全技术 网络安全等级保护基本要求
GB-T 25070-2019 信息安全技术 网络安全等级保护安全设计技术要求
GB-T 28448-2019 信息安全技术 网络安全等级保护测评要求
GB-T 28449-2018 信息安全技术 网络安全等级保护测评过程指南
GB-T 22240-2020 网络安全等级保护定级指南
GB-T 36627-2018 信息安全技术 网络安全等级保护测试评估技术指南
GB-T 36958-2018 信息安全技术 网络安全等级保护安全管理中心技术要求
GB-T 36959-2018 信息安全技术 网络安全等级保护测评机构能力要求和评估规范
GB-T 25058-2019 信息安全技术 网络安全等级保护实施指南
GB-T 21053-2007 信息安全技术 公共基础设施 PKI系统安全等级保护技术要求
GB-T 21054-2007 信息安全技术 公钥基础设施 PKI系统安全等级保护评估准则
版权归原作者 maoguan121 所有, 如有侵权,请联系我们删除。