网络安全-等级保护制度介绍

一、等保发展历程

 （1）1994国务院147号令

        第一次提出等级保护概念，要求对信息系统分等级进行保护

 （2）1999年GB17859

        国家强制标准发布，信息系统等级保护必须遵循的法规

 （3）2005年公安部四大标准

        《基本要求》《定级指南》《实施指南》《测评标准》

 （4）2007年公通字【2007】43号

        等级保护管理办法发布，明确如何建设、如何监管以及如何选择服务商等

 （5）2015年工作要点       

        中央网信领导小组2015年工作要求、落实国家信息安全等级保护制度

 （6）2017年《网络安全法》

        第二十一条“国家实行网络安全等级保护制度”该法深化网络安全等级保护制度的重要措施，2017年6月1日开始施行

 （7）2019年《信息安全技术网络安全等级保护基本要求》

        等保2.0在2019年12月1日正式实施

 二、为什么要做等级保护

        做了出事，属于天灾意外，不做出事，属于人祸，不合规。

（1）责任分担

        责任更清晰，完成等保测评意味着公安机关认可你的安全现状，一旦发生安全事件是意外，如果没有进行等级保护测评意味着你没有达到国家要求，用户单位承担主要责任，网监部门会直接进行比较严厉的处罚

（2）安全体系化

        以等级保护为标准开展安全建设，可以让单位自身安全建设更加体系化，可以从物理、网络、主机、应用、数据多个方面成体系进行安全建设，再也不会头疼医脚脚痛医头，对本单位的安全建设有了整体的规划和思路。

三、如何做等级保护-相关标准

基础类    

        《计算机信息系统安全保护等级划分准则》GB 17859-1999    

        《信息系统安全等级保护实施指南》 GB/T25058-2010

应用类

        定级：

        《信息系统安全保护等级定级指南》GB/T 22240-2008

        建设：

        《信息系统安全等级保护基本要求》GB/T 22239-2008          

        《信息系统通用安全技术要求》GB/T 20271-2006          

        《信息系统等级保护安全设计技术要求》

        测评：

        《信息系统安全等级保护测评要求》 GB/T28448-2012          

        《信息系统安全等级保护测评过程指南》 GB/T28449-2012

        管理：

        《信息系统安全管理要求》GB/T 20269-2006          

        《信息系统安全工程管理要求》GB/T 20282-2006

四、等保建设中参与角色

五、等保建设流程