为了合规通过等级保护,不少人问:信息安全等级保护政策或者标准到底有哪些?究竟以哪些作为依据?为了解决大家的这个难题,本篇文章为大家提供国家目前已经出台的关于等级保护的相关标准,可收藏! 首先需要明确的是,2019年12月1日起,等保相关标准正式实施,我国也正式进入等保2.0时代。相比等保1.0,等保2.0发生了很多变化,对于需要申办等级保护的企业来说,如果等保2.0有规定的,请参照等保2.0的最新规定来执行。当然,有一些标准,无论是等保1.0还是等保2.0.都是通用的。 一、等保1.0时代等级保护相关标准 1.《中华人民共和国人民警察法》规定:人民警察履行“监督管理计算机信息系统的安全保护工作”的职责。 2.国务院令第147号规定:“公安部主管全国计算机信息系统安全保护工作”,“等级保护的具体办法,由公安部会同有关部门制定”。 3.2008年国务院“三定”方案,赋予公安部“监督、检查、指导信息安全等级保护工作”法定职责。 4.《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确指出:实行信息安全等级保护。要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南 。 5、《国务院关于推进信息化发展和切实保障信息安全的若干意见》(国发[2012]23号):“落实信息安全等级保护制度,开展相应等级的安全建设和管理,做好信息系统定级备案、整改和监督检查。” 6.国家发改委、公安部、财政部、国家保密局、国家电子政务内网建设和管理协调小组办公室联合印发了《关于进一步加强国家电子政务网络建设和应用工作的通知》(发改高技[2012]1986号) 7.公安部、发改委和财政部联合印发的《关于加强国家级重要信息系统安全保障工作有关事项的通知》(公信安[2014]2182号)要求,加强对47个行业、276家单位、500个涉及国计民生的国家级重要信息系统的安全监管和保障。 《安防控体系建设的意见》要求:“完善国家网络安全监测预警和通报处置工作机制,推进完善信息安全等级保护制度”。 8.2014年12月,中办国办《关于加强社会治安防控体系建设的意见》要求:“完善国家网络安全监测预警和通报处置工作机制,推进完善信息安全等级保护制度”。 9.2014年12月中央批准实施的《关于全面深化公安改革若干重大问题的框架意见》指出, “推进健全信息安全等级保护制度,完善网络安全风险监测预警、通报处置机制”。 10.《中央网络安全和信息化领导小组2015年工作要点》中,要求“落实国家信息安全等级保护制度”。 二、等保2.0时代等级保护相关标准 1.《网络安全法》 需要申办等级保护的企业必须参照的其中一个标准是《网络安全法》,《网络安全法》其实早在2017年就发布了,应该算是等保1.0时期的标准,但由于这个比较重要,我们把它放在2.0时代来说。《网络安全法》 明确规定信息系统运营、使用单位应当按照网络安全等级保护制度要求,履行安全保护义务,如果拒不履行,将会受到相应处罚。 《网络安全法》第二十一条规定: 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改: 1. 制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任; 2. 采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施; 3. 采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月; 4. 采取数据分类、重要数据备份和加密等措施; 5. 法律、行政法规规定的其他义务。 《网络安全法》第三十八条规定: 关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。 《网络安全法》第五十九条规定: 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。 关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。 2.GB/T 22239-2019 《信息安全技术 网络安全等级保护基本要求》 该项标准是等级保护标准体系的核心,对2008版标准中提出的基本要求进行了修改完善,形成安全通用要求;对云计算、大数据、移动互联、物联网、工业控制等新技术和新应用领域,提出了安全扩展要求。 3.GB/T25070-2019 《信息安全技术 网络等级保护安全设计技术要求》 该标准主要对共性安全保护目标提出通用安全设计技术要求,该标准适用于指导运营使用单位、网络安全企业、网络安全服务机构开展网络安全等级保护安全技术方案的设计和实施,也可作为网络安全职能部门进行监督、检查和指导的依据。 4.GB/T28448-2019 《信息安全技术 网络安全等级保护测评要求》 该标准与等级保护基本要求保持一致,主要明确了测评对象、测评判定规则等内容。该标准为安全测评服务机构、等级保护对象的主管部门及运营使用单位对等级保护对象的安全状况进行安全测评提供指南。信息安全监管职能部门进行网络安全等级保护监督检查时参考使用。 5.《GBT 22240-2020信息安全技术网络安全等级保护定级指南》 2020年4月28日,国家市场监督管理总局和国家标准化管理委员会发布了《GBT 22240-2020信息安全技术网络安全等级保护定级指南》,且该指南将于2020年11月1日正式实施。该指南主要是对信息系统的定级指引,包含内容有:等级保护对象介绍、定级要素与安全保护等级的关系、定级流程、不同保护对象的定级说明等。