昆明理工大学：网络安全等级保护制度-等级保护基本要求解读（70页）.pdf

1、等级保护2.0基本要求解读2019年5月等保2.0制度结构性变化解读基本要求的变化及主要条款解读二一目录01等保2.0制度结构性变化解读等级保护基本概念-定义l 等级保护全称为“信息系统安全等级保护”，现改为“网络安全等级保护”，是指对网络和信息系统按照重要性等级分级别保护的一种工作；根据网络与信息系统在国家安全、经济建设、社会生活中的重要程度，遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等，由低到高被划分为五个安全保护等级-概括说明l 系统重要程度有多高，安全保护就应当有多强，既不能保护不足，也不能过度保护。-等级保护对客户意义l 遵循客观规律，网络安

2、全的等级是客观存在的l 有利于突出重点，加强安全建设和管理l 有利于控制信息安全建设的成本，平衡安全建设与成本-等级保护对国家意义l 制度：是为了构建国家信息安全保障体系。l 抓手：提高信息系统安全防护能力。l 带有很强技术性的国家风险管控行为第五级访问验证保护级第四级结构化保护第三级安全标记级第二级系统审计保护级第一级 用户自主保护级等级保护技术标准渊源等级保护制度演进新时代发展启动首提等保实行等保发展等保落实等保等保政策法律地位的提升计算机信息系统安全保护条例（国务院令 第147号）商用密码管理条例（国务院令 第273号）信息安全等级保护管理办法（公通字200743号)电子政务等级保护相关

3、制度（发改委）.地方人民政府地方人大及常委会国务院全国人大及其常委会法律行政法规地方性法规地方政府规章规范性文件部门规章国务院各部委宪法、刑法（部分条款）国家安全法（部分条款）保守国家秘密法电子签名法.等级保护1.0等级保护2.0计算机信息系统安全保护条例（国务院令 第147号）商用密码管理条例（国务院令 第273号）网络安全等级保护条例关键信息基础设施安全保护条例关键信息基础设施相关制度（国家互联网信息办公室）电子政务等级保护相关制度（发改委）.宪法、刑法（部分条款）国家安全法（部分条款）保守国家秘密法电子签名法网络安全法.新等级保护标准体系网络安全等级保护定级指南（修订）网络安全等级保护实

4、施指南（修订）网络安全等级保护基本要求（修订）网络安全等级保护安全设计技术要求（修订）网络安全等级保护测评要求（修订）网络安全等级保护测试评估技术指南（新立）网络安全等级保护测评机构能力要求和评估规范（新立）网络安全等级保护测评过程指南（修订）网络安全等级保护安全管理中心技术要求（新立）新旧等级保护标准核心内涵对比发展阶段等级保护1.0时代等级保护2.0时代名称信息（系统）安全等级保护网络安全等级保护顶层规范性文件计算机信息系统安全保护条例（行政法规）网络安全法（法律）核心体系文件信息安全等级保护管理办法（部门规范性文件）网络安全等级保护条例（征求意见）（行政法规）配套标准以GB/T 2223

5、9-2008、GB/T 28448-2012等为核心的信息系统安全等级保护标准及其他配套标准以修订GB/T 22239、28448等为核心的网络安全等级保护标准（俗称等保2.0标准）及其它配套标准流程五个规定动作：定级、备案、建设整改、等级测评和监督检查除五个规定动作外风险评估、安全监测、通报预警、事件调查、应急演练、灾难备份、自主可控、供应链安全、效果评价、综治考核等重点措施纳入等保1.0到2.0不仅仅是标准修订、技术升级，其核心更是法律效力的极大提升定级备案中的变化等保1.0等保2.0定级依据信息安全等级保护管理办法 第十条规定，信息系统安全等级保护定级指南配套使用网络安全等级保护条例（征

6、求意见稿）第二条中定义修订GB/T 22240作为进一步细化定级对象信息安全等级保护工作直接作用的具体的信息和信息系统网络安全等级保护工作的作用对象，主要包括基础信息网络、工业控制系统、云计算平台、物联网、使用移动互联技术的网络、其他网络以及大数据等。定级对象基本特征1）具有唯一确定的安全责任单位2）具有信息系统的基本要求3）承载单一或相对独立的业务应用1）具有确定的主要安全责任主体；2）承载相对独立的业务应用；3）包含相互关联的多个资源。定级特征之外要求无详细规定了：基础信息网络、工业控制系统、云计算平台、物联网、采用移动互联技术的网络和大数据必须遵循的其他要求等保1.0等保2.0特定定级对