一、等保发展历程
(1)1994国务院147号令
第一次提出等级保护概念,要求对信息系统分等级进行保护
(2)1999年GB17859
国家强制标准发布,信息系统等级保护必须遵循的法规
(3)2005年公安部四大标准
《基本要求》《定级指南》《实施指南》《测评标准》
(4)2007年公通字【2007】43号
等级保护管理办法发布,明确如何建设、如何监管以及如何选择服务商等
(5)2015年工作要点
中央网信领导小组2015年工作要求、落实国家信息安全等级保护制度
(6)2017年《网络安全法》
第二十一条“国家实行网络安全等级保护制度”该法深化网络安全等级保护制度的重要措施,2017年6月1日开始施行
(7)2019年《信息安全技术网络安全等级保护基本要求》
等保2.0在2019年12月1日正式实施
二、为什么要做等级保护
做了出事,属于天灾意外,不做出事,属于人祸,不合规。
(1)责任分担
责任更清晰,完成等保测评意味着公安机关认可你的安全现状,一旦发生安全事件是意外,如果没有进行等级保护测评意味着你没有达到国家要求,用户单位承担主要责任,网监部门会直接进行比较严厉的处罚
(2)安全体系化
以等级保护为标准开展安全建设,可以让单位自身安全建设更加体系化,可以从物理、网络、主机、应用、数据多个方面成体系进行安全建设,再也不会头疼医脚脚痛医头,对本单位的安全建设有了整体的规划和思路。
三、如何做等级保护-相关标准
基础类
《计算机信息系统安全保护等级划分准则》GB 17859-1999
《信息系统安全等级保护实施指南》 GB/T25058-2010
应用类
定级:
《信息系统安全保护等级定级指南》GB/T 22240-2008
建设:
《信息系统安全等级保护基本要求》GB/T 22239-2008
《信息系统通用安全技术要求》GB/T 20271-2006
《信息系统等级保护安全设计技术要求》
测评:
《信息系统安全等级保护测评要求》 GB/T28448-2012
《信息系统安全等级保护测评过程指南》 GB/T28449-2012
管理:
《信息系统安全管理要求》GB/T 20269-2006
《信息系统安全工程管理要求》GB/T 20282-2006
四、等保建设中参与角色