等保,全称为信息安全等级保护,是对信息和信息载体按照重要性等级分级进行保护的一种工作。
企业的信息系统有收集、储存用户信息的,都需要进行等保建设,以此来整改提升系统的安全防护能力,降低被攻击的风险。若不然一旦被攻击,信息很可能会泄露,用户信息乃至国家安全都可能遭到威胁。
因而,不仅是各大企业的安全人员,还是对安全感兴趣的朋友,一定要了解等级保护是如何建设的:
等保1.0、2.0是什么意思?
怎么做等级保护?
等级保护如何评级?
其中又包含哪些流程?
如何撰写定级报告?
下面就给大家简单介绍一下等级保护:
1、等保1.0、2.0是什么意思?
2007年,公安部发布《信息安全等级保护管理办法》,俗称等保1.0,标志着全国范围的网络安全等级保护工作正式拉开序幕,并成为我国网络安全方面的主要依据。
但随着时代的发展,新技术、新业务快速发展,等保1.0已经不再适用于大数据、云计算、物联网等技术形态下的安全要求,需要制定新的标准。
2017年,我国颁布了《中华人民共和国网络安全法》,标志着等级保护2.0的正式启动
2、与等保1.0相比,等保2.0有哪些变化?
等保2.0在等保1.0的基础上做出全面的升级调整,这体现在网络安全防护思维的变化。
其中最大的变化是网络安全等级保护制度2.0在1.0的基础上,实现对新技术新应用安全保护对象和安全保护领域的全覆盖,将云计算、大数据、物联网、移动互联等新技术应用全部纳入保护范畴。
一句话总结就是:三不变、四变
三不变之“五个级别不变”
三不变之“五个阶段不变”
三不变之“主体责任不变”
.运营使用单位对定级对象的等级保护职责
.上级主管单位对所属单位的安全管理职责
.第三方测评机构对定级对象的安全评估职责
.公安机关对定级对象的备案受理及监督检查职责
四变之“法律地位的变化”
等保2.0的标准依据是《中华人民共和国网络安全法》,从条例法规层面提升到国家法律层面,也就是说不开展等级保护的单位和个人等于违法,并要承担相应的法律后果。
四变之“标准要求的变化”
.等保2.0使用新技术的信息系统需要同时满足”通用要求+安全扩展“的要求
.等保2.0保护对象范围扩大了,纳入云计算、物联网、大数据等
.等保2.0三个标准均采用”一个重心、三重防护“的体系架构
.等保2.0标准强化了可信计算技术的使用要求
四变之“安全保障体系的变化”
四变之“测评实施的变化”
3、等级保护2.0顶级流程有哪些?
等级保护2.0不再要求简单自主定级,一般定级流程如下: