等 保 网络安全等级保护解决方案 2.0 等保2.0安全管理规划 等保2.0总体介绍 等保2.0技术防护方案设计 附录：网络安全违法案例 等保2.0测评流程 ontents C 1 2 3 4 5 目 录 网络安全相关法律 第二十五条?国家建设网络与信息安全保障体系，提升网络与信息安全保护能力，加强网络和信息技术的创新研究和开发应用，实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控； 中华人民共和国 国家安全法 中华人民共和国 网络安全法 第二十一条?国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改 网络安全等保及相关标准 《计算机信息系统安全保护等级划分准则》（GB17859-1999） 《信息安全技术 网络安全等级保护基本要求》（GB/T22239一2019） 《信息安全技术 网络安全等级保护安全设计技术要求》（GB/T25070一2019） 《信息安全技术 网络络安全等级保护测评要求》（GB/T28448-2019） 《信息安全技术 网络安全等级保护测评过程指南》（GB/T28449-2019) 《信息安全技术 信息糸统安全等级保护定级指南》(GB/T22240-2008) 《信息安全技术 网络安全等级保护测试评估技术指南》（GB/T36627-2018） 《信息安金技术 网络安全等级保护安全管理中心技术要求》(GB/T36958一2018） 《信息安全技术 网络安全等级保护评机构能力要求和评估规范》（GB/T36959-2018) 网络安全等级保护 1994年《中华人民共和国计算机信息系统安全保护条例》颁布实施 1999年《计算机信息系统安全等级保护划分准则》（GB17859）发布。 2008年 等级保护1.0元年 《信息安全技术　信息系统安全等级保护基本要求》相关标准发布实施。 2016年发布《中华人民共和国网络安全法》 等级保护发展历程 2019年 等级保护2.0元年 5月13日正式发布等级保护2.0版本（《信息安全技术网络安全等级保护基本要求》 等保2.0相对1.0的关键变化 等保2.0的特点及新变化 等保2.0的特点及新变化 对象范围扩大 分类结构统一 强调可信计算 标准名称变化 保护对象变化 安全要求变化 章节结构变化 分类结构变化 新增云计算安全扩展要求 新增移动互联网安全扩展要求 新增物联网安全扩展要求 新增工业控制系统安全扩展要求 增加应用场景要求 三大特点 十大变化 等保2.0基本框架 等保2.0充分体现了“一个中心三重防御“的思想，一个中心指“安全管理中心”，三重防御指“安全计算环境、安全区域边界、安全网络通信”，同时等保2.0强化可信计算安全技术要求的使用 等保2.0涉及的行业 政府单位 各大部委、各省级政府机关、各地市县级政府机关、各事业单位等 公共安全行业 公安、司法、检察、监察等 金融行业 金融监管机构、各大银行、证券、保险公司等 医疗行业 医院、疫病控制中心、医疗卫生管理机构、医疗卫生研究机构等 教育行业 高校、职校、普教等 电信行业 各大电信运营商、各省电信公司、各地市电信公司、各类电信服务商等 能源行业 电力公司、石油公司、天然气公司、煤碳公司等 企业单位 大中型企业、央企、上市公司等 其他有信息系统定级需求的单位和行业 等保建设的意义 等保2.0保护对象等级划分 等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益； 等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全； 等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生特别严重损害，或者对社会秩序和公共利益造成严重损害，或者对国家安全造成损害； 等级保护对象受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害；? 等级保护对象受到破坏后，会对国家安全造成特别严重损害。 第一级 第二级 第三级 第四级 第五级 等保2.0实施工作流程 定级、评审、备案 需求分析 总体设计 建设方案规划 整体实施方案设计 安全产品和服务覆盖 等保技术实现 等保管理实现 等保合规自评 等保2.0实施阶段 运行管控 变更管控 状态监控 服务商管控 等保测评 检查改进 信息处理 设备处理 存储介质处理 等保2.0定级流程 确定定级对象 初步确认等级 专家评审 主管部门审核 公安机关备案审查 最终确定的等级 包括基础信息网络、工业控制系统、云计算平台、物联网、其他信息系统、大数据等 包括确定受侵害的客体、侵害对客体的侵害程度以及综合判定侵害程度 定级对象的运营、使用单位应组织信息安全专家和业务专家，对初步定级结果的合理性进行评审，出具专家评审意见 定级对象的运营、使用单位应将初步定级结果上报行业主管部门或上级主管部门进行审核 定级对象的运营、使用单位应按照相关管理规定，将初步定级结果提交公安机关进行备案审查，审查不通过，其运营使用单位应组织重新定级。审查通过后最终确定定级对象的安全保护等级。 等保2.0总体安全规划 网络安全战略规划目标 国家网络安全法律法规政策体系 国家网络安全等级保护政策标准体系