2007年,《信息安全等級(jí)保護(hù)管理辦法》(公通字[2007]43號(hào))文件的正式發(fā)布����,標(biāo)志著等級(jí)保護(hù)1.0的正式啟動(dòng)�。等級(jí)保護(hù)1.0規(guī)定了等級(jí)保護(hù)需要完成的“規(guī)定動(dòng)作”,即定級(jí)備案��、建設(shè)整改�、等級(jí)測評(píng)和監(jiān)督檢查,為了指導(dǎo)用戶完成等級(jí)保護(hù)的“規(guī)定動(dòng)作”���,在2008年至2012年期間陸續(xù)發(fā)布了等級(jí)保護(hù)的一些主要標(biāo)準(zhǔn)�����,構(gòu)成等級(jí)保護(hù)1.0的標(biāo)準(zhǔn)體系��。>>>等級(jí)保護(hù)1.0時(shí)期的主要標(biāo)準(zhǔn)如下:
信息安全等級(jí)保護(hù)管理辦法(43號(hào)文件)(上位文件)
計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 GB17859-1999(上位標(biāo)準(zhǔn))
信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南 GB/T25058-2008
信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南 GB/T22240-2008
信息系統(tǒng)安全等級(jí)保護(hù)基本要求 GB/T22239-2008
信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)要求 GB/T25070-2010
信息系統(tǒng)安全等級(jí)保護(hù)測評(píng)要求 GB/T28448-2012
信息系統(tǒng)安全等級(jí)保護(hù)測評(píng)過程指南 GB/T28449-2012
等級(jí)保護(hù)2.0標(biāo)準(zhǔn)體系
2017年����,《中華人民共和國網(wǎng)絡(luò)安全法》的正式實(shí)施,標(biāo)志著等級(jí)保護(hù)2.0的正式啟動(dòng)��。網(wǎng)絡(luò)安全法明確“國家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度�����?!保ǖ?1條)���、“國家對(duì)一旦遭到破壞���、喪失功能或者數(shù)據(jù)泄露,可能嚴(yán)重危害國家安全��、國計(jì)民生��、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施��,在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上,實(shí)行重點(diǎn)保護(hù)����。”(第31條)�。上述要求為網(wǎng)絡(luò)安全等級(jí)保護(hù)賦予了新的含義,重新調(diào)整和修訂等級(jí)保護(hù)1.0標(biāo)準(zhǔn)體系����,配合網(wǎng)絡(luò)安全法的實(shí)施和落地,指導(dǎo)用戶按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的新要求���,履行網(wǎng)絡(luò)安全保護(hù)義務(wù)的意義重大�����。
隨著信息技術(shù)的發(fā)展���,等級(jí)保護(hù)對(duì)象已經(jīng)從狹義的信息系統(tǒng),擴(kuò)展到網(wǎng)絡(luò)基礎(chǔ)設(shè)施�、云計(jì)算平臺(tái)/系統(tǒng)、大數(shù)據(jù)平臺(tái)/系統(tǒng)���、物聯(lián)網(wǎng)�、工業(yè)控制系統(tǒng)、采用移動(dòng)互聯(lián)技術(shù)的系統(tǒng)等���,基于新技術(shù)和新手段提出新的分等級(jí)的技術(shù)防護(hù)機(jī)制和完善的管理手段是等級(jí)保護(hù)2.0標(biāo)準(zhǔn)必須考慮的內(nèi)容�。關(guān)鍵信息基礎(chǔ)設(shè)施在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上�,實(shí)行重點(diǎn)保護(hù),基于等級(jí)保護(hù)提出的分等級(jí)的防護(hù)機(jī)制和管理手段提出關(guān)鍵信息基礎(chǔ)設(shè)施的加強(qiáng)保護(hù)措施��,確保等級(jí)保護(hù)標(biāo)準(zhǔn)和關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)標(biāo)準(zhǔn)的順利銜接也是等級(jí)保護(hù)2.0標(biāo)準(zhǔn)體系需要考慮的內(nèi)容����。
>>>等級(jí)保護(hù)2.0標(biāo)準(zhǔn)體系主要標(biāo)準(zhǔn)如下:
網(wǎng)絡(luò)安全等級(jí)保護(hù)條例(總要求/上位文件)
計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則(GB 17859-1999)
(上位標(biāo)準(zhǔn))
網(wǎng)絡(luò)安全等級(jí)保護(hù)實(shí)施指南(GB/T25058-2020)
網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南(GB/T22240-2020)
網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求(GB/T22239-2019)
網(wǎng)絡(luò)安全等級(jí)保護(hù)設(shè)計(jì)技術(shù)要求(GB/T25070-2019)
網(wǎng)絡(luò)安全等級(jí)保護(hù)測評(píng)要求(GB/T28448-2019)
網(wǎng)絡(luò)安全等級(jí)保護(hù)測評(píng)過程指南(GB/T28449-2018)
>>>關(guān)鍵信息基礎(chǔ)設(shè)施標(biāo)準(zhǔn)體系框架如下:
關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)條例(征求意見稿)(總要求/上位文件)
關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求(征求意見稿)
關(guān)鍵信息基礎(chǔ)設(shè)施安全控制要求(征求意見稿)
關(guān)鍵信息基礎(chǔ)設(shè)施安全控制評(píng)估方法(征求意見稿)
主要標(biāo)準(zhǔn)的特點(diǎn)和變化
標(biāo)準(zhǔn)的主要特點(diǎn)
將對(duì)象范圍由原來的信息系統(tǒng)改為等級(jí)保護(hù)對(duì)象(信息系統(tǒng)����、通信網(wǎng)絡(luò)設(shè)施和數(shù)據(jù)資源等),對(duì)象包括網(wǎng)絡(luò)基礎(chǔ)設(shè)施(廣電網(wǎng)��、電信網(wǎng)���、專用通信網(wǎng)絡(luò) 等)��、云計(jì)算平臺(tái)/系統(tǒng)�����、大數(shù)據(jù)平臺(tái)/系統(tǒng)����、物聯(lián)網(wǎng)、工業(yè)控制 系統(tǒng)�����、采用移動(dòng)互聯(lián)技術(shù)的系統(tǒng)等��。
在1.0標(biāo)準(zhǔn)的基礎(chǔ)上進(jìn)行了優(yōu)化����,同時(shí)針對(duì)云計(jì)算、移動(dòng)互聯(lián)��、物聯(lián)網(wǎng)��、工業(yè)控制系統(tǒng)及大數(shù)據(jù)等新技術(shù)和新應(yīng)用領(lǐng)域提出新要求�,形成了安全通用要求+新應(yīng)用安全擴(kuò)展要求構(gòu)成的標(biāo)準(zhǔn)要求內(nèi)容。
采用了“一個(gè)中心��,三重防護(hù)”的防護(hù)理念和分類結(jié)構(gòu)����,強(qiáng)化了建立縱深防御和精細(xì)防御體系的思想���。
強(qiáng)化了密碼技術(shù)和可信計(jì)算技術(shù)的使用,把可信驗(yàn)證列入各個(gè)級(jí)別并逐級(jí)提出各個(gè)環(huán)節(jié)的主要可信驗(yàn)證要求���,強(qiáng)調(diào)通過密碼技術(shù)����、可信驗(yàn)證���、安全審計(jì)和態(tài)勢感知等建立主動(dòng)防御體系的期望�����。
名稱由原來的《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》改為《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》。等級(jí)保護(hù)對(duì)象由原來的信息系統(tǒng)調(diào)整為基礎(chǔ)信息網(wǎng)絡(luò)����、信息系統(tǒng)(含采用移動(dòng)互聯(lián)技術(shù)的系統(tǒng))、云計(jì)算平臺(tái)/系統(tǒng)��、大數(shù)據(jù)應(yīng)用/平臺(tái)/資源����、物聯(lián)網(wǎng)和工業(yè)控制系統(tǒng)等�。
將原來各個(gè)級(jí)別的安全要求分為安全通用要求和安全擴(kuò)展要求��,其中安全擴(kuò)展要求包括安全擴(kuò)展要求云計(jì)算安全擴(kuò)展要求����、移動(dòng)互聯(lián)安全擴(kuò)展要求、物聯(lián)網(wǎng)安全擴(kuò)展要求以及工業(yè)控制系統(tǒng)安全擴(kuò)展要求���。安全通用要求是不管等級(jí)保護(hù)對(duì)象形態(tài)如何必須滿足的要求���。
基本要求中各級(jí)技術(shù)要求修訂為“安全物理環(huán)境”、“安全通信網(wǎng)絡(luò)”��、“安全區(qū)域邊界”����、“安全計(jì)算環(huán)境”和“安全管理中心”;各級(jí)管理要求修訂為“安全管理制度”�����、“安全管理機(jī)構(gòu)”�、“安全管理人員”�、“安全建設(shè)管理”和“安全運(yùn)維管理”���。
取消了原來安全控制點(diǎn)的S���、A、G標(biāo)注��,增加一個(gè)附錄A“關(guān)于安全通用要求和安全擴(kuò)展要求的選擇和使用”��,描述等級(jí)保護(hù)對(duì)象的定級(jí)結(jié)果和安全要求之間的關(guān)系�����,說明如何根據(jù)定級(jí)的S���、A結(jié)果選擇安全要求的相關(guān)條款���,簡化了標(biāo)準(zhǔn)正文部分的內(nèi)容。增加附錄C描述等級(jí)保護(hù)安全框架和關(guān)鍵技術(shù)�、增加附錄D描述云計(jì)算應(yīng)用場景����、附錄E描述移動(dòng)互聯(lián)應(yīng)用場景���、附錄F描述物聯(lián)網(wǎng)應(yīng)用場景、附錄G描述工業(yè)控制系統(tǒng)應(yīng)用場景��、附錄H描述大數(shù)據(jù)應(yīng)用場景��。
主要標(biāo)準(zhǔn)的框架和內(nèi)容
標(biāo)準(zhǔn)的框架結(jié)構(gòu)
《GB/T 22239-2019》���、《GB/T 25070-2019》和《GB/T28448-2019》三個(gè)標(biāo)準(zhǔn)采取了統(tǒng)一的框架結(jié)構(gòu)�。
例如���,《GB/T 22239-2019》采用的框架結(jié)構(gòu)
安全通用要求細(xì)分為技術(shù)要求和管理要求��。其中技術(shù)要求包括“安全物理環(huán)境”���、“安全通信網(wǎng)絡(luò)”、“安全區(qū)域邊界”��、“安全計(jì)算環(huán)境”和“安全管理中心”��;管理要求包括“安全管理制度”�����、“安全管理機(jī)構(gòu)”、“安全管理人員”��、“安全建設(shè)管理”和“安全運(yùn)維管理”����。
安全通用要求針對(duì)共性化保護(hù)需求提出,無論等級(jí)保護(hù)對(duì)象以何種形式出現(xiàn)�,需要根據(jù)安全保護(hù)等級(jí)實(shí)現(xiàn)相應(yīng)級(jí)別的安全通用要求。安全擴(kuò)展要求針對(duì)個(gè)性化保護(hù)需求提出�,等級(jí)保護(hù)對(duì)象需要根據(jù)安全保護(hù)等級(jí)、使用的特定技術(shù)或特定的應(yīng)用場景實(shí)現(xiàn)安全擴(kuò)展要求��。等級(jí)保護(hù)對(duì)象的安全保護(hù)需要同時(shí)落實(shí)安全通用要求和安全擴(kuò)展要求提出的措施�����。
針對(duì)物理機(jī)房提出的安全控制要求��。主要對(duì)象為物理環(huán)境�����、物理設(shè)備和物理設(shè)施等�;涉及的安全控制點(diǎn)包括物理位置的選擇、物理訪問控制�����、防盜竊和防破壞���、防雷擊����、防火���、防水和防潮�����、防靜電����、溫濕度控制�、電力供應(yīng)和電磁防護(hù)。針對(duì)通信網(wǎng)絡(luò)提出的安全控制要求����。主要對(duì)象為廣域網(wǎng)、城域網(wǎng)和局域網(wǎng)等���;涉及的安全控制點(diǎn)包括網(wǎng)絡(luò)架構(gòu)���、通信傳輸和可信驗(yàn)證���。針對(duì)網(wǎng)絡(luò)邊界提出的安全控制要求。主要對(duì)象為系統(tǒng)邊界和區(qū)域邊界等�����;涉及的安全控制點(diǎn)包括邊界防護(hù)��、訪問控制�、入侵防范、惡意代碼防范��、安全審計(jì)和可信驗(yàn)證����。針對(duì)邊界內(nèi)部提出的安全控制要求。主要對(duì)象為邊界內(nèi)部的所有對(duì)象����,包括網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器設(shè)備�����、終端設(shè)備�、應(yīng)用系統(tǒng)����、數(shù)據(jù)對(duì)象和其他設(shè)備等;涉及的安全控制點(diǎn)包括身份鑒別��、訪問控制���、安全審計(jì)����、入侵防范���、惡意代碼防范�、可信驗(yàn)證����、數(shù)據(jù)完整性、數(shù)據(jù)保密性、數(shù)據(jù)備份與恢復(fù)����、剩余信息保護(hù)和個(gè)人信息保護(hù)。針對(duì)整個(gè)系統(tǒng)提出的安全管理方面的技術(shù)控制要求��,通過技術(shù)手段實(shí)現(xiàn)集中管理����;涉及的安全控制點(diǎn)包括系統(tǒng)管理、審計(jì)管理�、安全管理和集中管控。針對(duì)整個(gè)管理制度體系提出的安全控制要求��,涉及的安全控制點(diǎn)包括安全策略����、管理制度、制定和發(fā)布以及評(píng)審和修訂���。針對(duì)整個(gè)管理組織架構(gòu)提出的安全控制要求�,涉及的安全控制點(diǎn)包括崗位設(shè)置�����、人員配備、授權(quán)和審批���、溝通和合作以及審核和檢查���。針對(duì)人員管理提出的安全控制要求,涉及的安全控制點(diǎn)包括人員錄用�����、人員離崗�、安全意識(shí)教育和培訓(xùn)以及外部人員訪問管理����。針對(duì)安全建設(shè)過程提出的安全控制要求,涉及的安全控制點(diǎn)包括定級(jí)和備案�����、安全方案設(shè)計(jì)���、安全產(chǎn)品采購和使用�����、自行軟件開發(fā)����、外包軟件開發(fā)、工程實(shí)施����、測試驗(yàn)收、系統(tǒng)交付���、等級(jí)測評(píng)和服務(wù)供應(yīng)商管理���。針對(duì)安全運(yùn)維過程提出的安全控制要求,涉及的安全控制點(diǎn)包括環(huán)境管理��、資產(chǎn)管理�����、介質(zhì)管理��、設(shè)備維護(hù)管理����、漏洞和風(fēng)險(xiǎn)管理�、網(wǎng)絡(luò)和系統(tǒng)安全管理�����、惡意代碼防范管理���、配置管理��、密碼管理��、變更管理���、備份與恢復(fù)管理����、安全事件處置、應(yīng)急預(yù)案管理和外包運(yùn)維管理���。
安全擴(kuò)展要求是采用特定技術(shù)或特定應(yīng)用場景下的等級(jí)保護(hù)對(duì)象需要增加實(shí)現(xiàn)的安全要求����。包括以下四方面:
1.云計(jì)算安全擴(kuò)展要求是針對(duì)云計(jì)算平臺(tái)提出的安全通用要求之外額外需要實(shí)現(xiàn)的安全要求���。主要內(nèi)容包括“基礎(chǔ)設(shè)施的位置”���、“虛擬化安全保護(hù)”����、“鏡像和快照保護(hù)”����、“云計(jì)算環(huán)境管理”和“云服務(wù)商選擇”等。
2.移動(dòng)互聯(lián)安全擴(kuò)展要求是針對(duì)移動(dòng)終端�、移動(dòng)應(yīng)用和無線網(wǎng)絡(luò)提出的安全要求,與安全通用要求一起構(gòu)成針對(duì)采用移動(dòng)互聯(lián)技術(shù)的等級(jí)保護(hù)對(duì)象的完整安全要求�����。主要內(nèi)容包括“無線接入點(diǎn)的物理位置”��、“移動(dòng)終端管控”����、“移動(dòng)應(yīng)用管控”、“移動(dòng)應(yīng)用軟件采購”和“移動(dòng)應(yīng)用軟件開發(fā)”等�����。
3.物聯(lián)網(wǎng)安全擴(kuò)展要求是針對(duì)感知層提出的特殊安全要求,與安全通用要求一起構(gòu)成針對(duì)物聯(lián)網(wǎng)的完整安全要求���。主要內(nèi)容包括“感知節(jié)點(diǎn)的物理防護(hù)”�、“感知節(jié)點(diǎn)設(shè)備安全”��、“網(wǎng)關(guān)節(jié)點(diǎn)設(shè)備安全”��、“感知節(jié)點(diǎn)的管理”和“數(shù)據(jù)融合處理”等�����。
4.工業(yè)控制系統(tǒng)安全擴(kuò)展要求主要是針對(duì)現(xiàn)場控制層和現(xiàn)場設(shè)備層提出的特殊安全要求���,它們與安全通用要求一起構(gòu)成針對(duì)工業(yè)控制系統(tǒng)的完整安全要求�。主要內(nèi)容包括“室外控制設(shè)備防護(hù)”�、“工業(yè)控制系統(tǒng)網(wǎng)絡(luò)架構(gòu)安全”����、“撥號(hào)使用控制”、“無線使用控制”和“控制設(shè)備安全”等����。
等保測評(píng)咨詢
