等级保护
什么是等保
信息安全等级保护(简称等保)是指对国家秘密信息、法人和其他组织及公民的专有信息以及***息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
等保2.0发生了什么变化
等保2.0相比较等保1.0发生了质变,从指南到法律,若相关单位不严格履行安全保护义务,将面临相应的处罚。此外备案,定级流程都有一定会程度的调整。
1.定级对象的变化
由原来的信息系统明确到等级保护对象,包括网络基础设施、云计算平台/系统、大数据平台/系统、物联网、工业控制系统采用移动互联技术的系统。
2. 一个中心,三重防护
以“一个中心,三重防护“为网络安全技术设计的总体思路,“一个中心三重防护”就是建立以计算环境安全为基础,以区域边界安全、通信网络安全为保障,以安全管理中心为核心的信息安全整体保障体系。
安全管理中心要求在系统管理、安全管理、审计管理三个方面实现集中管控,从被动防护转变到主动防护,从静态防护转变到动态防护,从单点防护转变到整体防护,从粗放防护转变到精准防护。
三重防护要求企业通过安全设备和技术手段实现身份鉴别、访问控制、入侵防范、数据完整性、保密性、个人信息保护等安全防护措施,实现平台的全方位安全防护。
3. 数据加密要求提高
等保2.0在等保1.0对数据安全的要求基本不变的情况下,对数据访问的审计、访问控制、加密都有更明确要求。等保1.0没有完整的体系思路,以防为主,等保2.0变成了事前、事中、事后的整体性防范,不仅要能做好审计,还要在出现问题可以事后溯源。2.0摒弃了1.0“一棍子打死”的通用测评方法。采用了“安全通用要求+安全扩展要求”的测评方法。对于新兴的五大行业:云计算,大数据,物联网,移动互联和工业控制执行具有该行业特色的测评手段。
4. 测评范围扩大
2.0相比1.0还有一个比较大的进步就是安全“左移”了。即2.0不只局限于应用生产环境的安全,还对架构安全、代码审计和上线前安全检测有了要求。其思想从漏洞源头进行防护,因此对于软件开发商的软件研发过程也提出了更高的要求。
哪些行业涉及办理等级保护?
|
教育(互联网教育) |
医疗(互联网医疗) |
快递行业 |
金融(互联网金融) |
|
需要完成ICP、等保备案、测评报告,三者缺一不可 |
各大医院系统需要做等保,互联网医疗要想上线取的上诊疗资质,需要过等保 |
不做等保不给换许可证 |
不做等保不允许经营,监管严格 |
|
物联网 |
能源、通信、交通行业 |
云 |
软件开发 |
|
行业或甲方要求需要做等保 |
上级主管部门要求 |
云物联,云安全,云储存,云计算,云服务器 |
行业或甲方要求需要做等保 |
|
工业数据安全、大数据 |
征信行业 |
酒店行业 |
政府机关、企事业单位、央企 |
|
行业或甲方要求需要做等保 |
行业要求需要做等保 |
属于目前严查行业 |
等级保护顶定级划分
安全等级共划分为五个级别,安全能力从第一级到第五级逐渐增强。各部门、各单位应当依照等级保护实施指南及相关标准进行相关等级备案证明申请
| 等级 | 合法权益 | 社会秩序和公共利益 | 国家安全 | ||||||
| 损害 | 严重伤害 | 特别严重伤害 | 损害 | 严重伤害 | 特别严重伤害 | 损害 | 严重伤害 | 特别严重伤害 | |
| 一级(用户自主保护级) |  |
||||||||
| 二级(系统审计保护级) | |
|
|||||||
| 三级(安全标记保护级) | |
|
|
||||||
| 四级(结构化保护级) | |
|
|||||||
| 五级(访问验证保护级) | |||||||||
