等级保护新标准（2.0)介绍.ppt

等级保护新标准（2.0）介绍  1 2 等级保护发展历程与展望 等级保护2.0标准体系 √ 3 等级保护2.0基本要求解析 4 等级保护2.0扩展要求解析 等保1.0时代 等保2.0工作 展望 等级保护发展历程与展望 1994年，国务院颁布《中华人民共和国计算机信息系统安全保护条例》，规定计算机信息系统实行安全等级保护。 2003年，中央办公厅、国务院办公厅颁发《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）明确指出“实行信息安全等级保护”。 2004-2006年，公安部联合四部委开展涉及65117家单位，共115319个信息系统的等级保护基础调查和等级保护试点工作，为全面开展等级保护工作奠定基础。 2007年6月，四部门联合出台《信息安全等级保护管理办法》。 2007年7月，四部门联合颁布《关于开展全国重要信息系统安全等级保护定级工作的通知》。 2007年7月20日，召开全国重要信息系统安全等级保护定级工作部署专题电视电话会议，标志着信息安全等级保护制度正式开始实施。 2010年4月，公安部出台《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》，提出等级保护工作的阶段性目标。 2010年12月，公安部和国务院国有资产监督管理委员会联合出台《关于进一步推进中央企业信息安全等级保护工作的通知》，要求中央企业贯彻执行等级保护工作。 等保1.0时代 等保2.0工作 展望 等级保护发展历程与展望 等保1.0时代 等保2.0工作 展望 等级保护发展历程与展望 等级保护2.0时代，将根据信息技术发展应用和网络安全态势，不断丰富制度内涵、拓展保护范围、完善监管措施，逐步健全网络安全等级保护制度政策、标准和支撑体系。 等级保护上升为法律 《中华人民共和国网络安全法》第21条规定“国家实行网络安全等级保护制度”，要求“网络运营者应当按照网络安全等级保护制度要求，履行安全保护义务”；第31条规定“对于国家关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护”。 等级保护对象将不断拓展 随着云计算、移动互联、大数据、物联网、人工智能等新技术不断涌现，计算机信息系统的概念已经不能涵盖全部，特别是互联网快速发展带来大数据价值的凸显，等保保护对象的外延将不断拓展。 等级保护工作内容将持续扩展 在定级、备案、建设整改、等级测评和监督检查等规定动作基础上，2.0时代风险评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处置、自主可控、供应链安全、效果评价、综治考核等这些与网络安全密切相关的措施都将全部纳入等级保护制度并加以实施。 等级保护体系将进行重大升级 2.0时代，主管部门将继续制定出台一系列政策法规和技术标准，形成运转顺畅的工作机制，在现有体系基础上，建立完善等级保护政策体系、标准体系、测评体系、技术体系、服务体系、关键技术研究体系、教育训练体系等。 1 2 等级保护发展历程与展望 等级保护2.0标准体系 3 等级保护2.0基本要求解析 4 等级保护2.0扩展要求解析 √ 等保1.0 等保2.0 等级保护2.0标准体系 GB 17859-1999 《计算机信息系统安全保护等级划分准则》 《 信息系统安全等级保护定级指南》 《信息系统安全等级保护基本要求》 《信息系统等级保护安全设计技术要求》 《信息系统安全等级保护实施指南》 《信息系统安全等级保护测评过程指南》 《信息系统安全等级保护测评要求》 等保1.0 等保2.0 等级保护2.0标准体系 正式更名为网络安全等级保护标准； 横向扩展了对云计算、移动互联网、物联网、工业控制系统的安全要求； 纵向扩展了对等保测评机构的规范管理。 （注：基于2017年等级保护标准系列征求意见稿） 未变化 修订内容 新增 主要标准 内容解析 等级保护2.0标准体系 GB 17859-1999 《计算机信息系统安全保护等级划分准则》 《 信息系统安全等级保护定级指南》 第1部分：安全通用要求 《网络安全等级保护实施指南》 《网络安全等级保护测评过程指南》 《网络安全等级保护基本要求》 第2部分：云计算安全扩展要求 第3部分：移动互联安全扩展要求 第4部分：物联网安全扩展要求 第5部分：工业控制系统安全扩展要求 《网络安全等级保护安全设计技术要求》 第1部分：安全通用要求 第2部分：云计算安全扩展要求 第3部分：移动互联安全扩展要求 第4部分：物联网安全扩展要求 第5部分：工业控制系统安全扩展要求 《网络安全等级保护测评要求》 第1部分：安全通用要求 第2部分：云计算安全扩展要求 第3部分：移动互联安全扩展要求 第4部分：物联网安全扩展要求 第5部分：工业控制系统安全扩展要求 《网络安全等级保护安全管理中心技术要求》 《网络安全等级