分类
如何成为一名操盘手

云平台背景下的网络安全等级保护测评策略

当前位置:首页 - 企业动态 - 企业新闻

什么是等保(信息安全等级保护)?

image.png

第五十九条:
网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。

版权声明: 本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

云平台背景下的网络安全等级保护测评策略

专利数量“踩线”闯关 亚虹医药IPO科创成色存疑

·摄像头暗藏猫腻,你的脸安全吗?

南方电网:将改革“试验田”深耕成“示范田”

南方电网:将改革“试验田”深耕成“示范田”

·传统产业“脱胎换骨” 新兴产业“强筋壮骨”

新闻线索提供热线:010-63074375 63072334 报社地址:北京市宣武门西大街57号

新闻线索提供热线:010-63074375 63072334
JJCKB.CN 经济参考报社版权所有
本站内容未经协议授权,禁止转载使用
京ICP备12028708号

什么是等保(信息安全等级保护)?

image.png

第五十九条:
网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。

版权声明: 本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

云平台背景下的网络安全等级保护测评策略

当前位置:首页 - 企业动态 - 企业新闻

解读《网络安全等级保护定级指南》2020版本8大变化

2020年4月28日,国家市场监督管理总局、国家标准化管理委员会发布了GB/T 22240—2020《信息安全技术 网络安全等级保护定级指南》。该标准历时3年研制,将于2020年11月1日正式实施(代替GB/T 22240—2008)。GB/T 22240-2020是网络安全等级保护2.0体系的重要组成部分,作为等级保护测评五大环节之首,对整个等保测评工作的实施开展意义重大。

2008年颁布的国家标准GB/T 22240-2008《信息安全技术 信息安全等级保护定级指南》落地实施已有十年时间。近年来,随着大数据、人工智能、云计算、物联网、移动互联等新技术新应用,企业信息系统架构复杂化、前端多样化、系统边界模糊化等特点,给企业网络安全合规建设带来挑战。为促进网络安全等级保护2.0时代的顺利发展,国家需要出台新的技术规范,方便企业对其进行准确的定级,以便更好地推动等级保护各项工作的开展。

对比GB/T 22240-2008版本,2020版本体现出八大变化

序号

变化点

修订内容

条款解读

标准名称

标准的名称由原来的GB/T 22240-2008《信息安全技术 信息系统安全等级保护定级指南》改为“信息安全技术 网络安全等级保护定级指南”。

为适应《 网络安全法》 ,配合落实“网络安全等级保护制度”进行同步调整。

术语定义

新增 了网络安全、通信网络设施、数据资源和受侵害的客体术语定义,修订了等级保护对象等术语定义,等级保护对象主要包括信息系统、通信网络设施和数据资源等。

等级保护对象从信息系统,扩展到信息系统、通信网络设施和数据资源等,内容更 广泛

定级流程

明确要求 第二级及以上 的定级,需组织专家评审,提供主管部门核准意见。第一级的等级保护,自行确定,可不进行专家评审。

定级对象确定方法

除保留原有的定级对象确定方法外, 增加 了对云计算平台/系统、物联网、工业控制系统、采用移动互联技术的系统、通信网络设施、数据资源定级对象的确定方法。

对于大型云计算平台,宜将云计算基础设施和有关辅助服务系统划分为 不同的定级对象 ;物联网、移动互联技术各要素, 不单独定级 ;数据资源可 独立定级 云平台背景下的网络安全等级保护测评策略 等。

确定安全保护等级方法

增加 了对云计算平台/系统、物联网、工业控制系统、采用移动互联技术的系统、通信网络设施、数据资源定级对象的安全保护等级方法的特别说明。

确定了定级方法流程 的 五个 步骤,描述了定级方法的 七步 步骤,为企业定级提供详细的方法依据。

确定通信网络设施、云计算平台/系统等级方法

对于 高级别 的云租户系统不能部署到 低级别 的云平台上;对于已过等保或计划过等保测评的云租户,不应部署在 未过等保测评 的云计算平台上。

确定数据资源等级方法

大数据将作为定级对象, 独立定级 ,尤其是涉及公民个人信息的大数据平台/系统,要求开展等级保护测评工作。

明确定级流程

明确了定级工作的流程,即:确定定级对象→初步确定等级 → 专家评审 → 主管部门核准 → 公安机关备案审查。

从企业“ 自主定级 ”向“ 初步定级 ”的转变,强调的专家评审和主管部门核准的重要性。

GB/T 22240—2020《信息安全技术 网络安全等级保护定级指南》的发布,详细描述了等级保护对象的安全保护等级定级方法和定级流程。但在实践层面,网络运营者在处理等级保护对象的定级工作中仍然存在较多困惑,比如: