【信息安全等级保护资讯网】专注网络安全等级保护,欢迎您的光临!
等级保护咨询电话:13865983726
信息安全等级保护资讯网
了解最新等级保护动态及等保资讯
等保测评
等保测评 您的位置:首页>等保测评 >
等级保护2.0迎来强监管时代
时间:2021-04-07阅读量:1699来源:转载关键词:等保测评 等保合规 返回列表

今年以来,已有多家单位因未落实网络安全等级保护制度而受到处罚。


2020年7月,湘阴某医院因网络安全等级保护制度落实不到位且被警告后拒不改正的违法行为,被当地公安局网安大队处以10000元整并责令该单位限期整的行政处罚。


2020年2月,甘孜州某直属机关门户网站因未落实等级保护技术措施致使网页被篡改,致使搜索网站自动跳转到赌博平台,甘孜州公安局网安支队对该直属机关门户网站处以停机整顿一个月的行政处罚。


2020年2月,南京某研究院、无锡某图书馆因网络安全等级保护制度落实不到位,导致网站遭受攻击破坏。南京、无锡警方依据对上述单位分别予以5万元罚款,对相关责任人予以5千元、2万元不等罚款,同时责令限期整改安全隐患,落实网络安全等级保护制度。


2020年1月,永川区某医院服务器被黑客攻击植入勒索病毒,永川区公安机关在刑事侦查中发现该医院未按照网络安全等级保护制度的要求履行安全保护义务,对该医院予以一万元罚款,对直接负责的主管人员予以5000元罚款。




近日,公安部重磅发布了《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》,进一步明确贯彻落实网络安全等级保护制度。


主要内容:


01

深化网络定级备案工作

网络运营者应对第二级以上网络依法向公安机关备案,并向行业主管部门报备。对新建网络,应在规划设计阶段确定安全保护等级。

02

定期开展网络安全等级测评

第三级以上网络运营者应每年开展一次网络安全等级测评。新建第三级以上网络应在通过等级测评后投入运行。

03

加强供应链安全管理

网络运营者因业务需要确需通过互联网远程运维的,应进行评估论证,并采取相应的管控措施;第三级以上网络运营者应积极应用安全可信的网络产品及服务。

04

落实密码安全防护要求

第三级以上网络运营者应正确、有效采用密码技术进行保护,并使用符合相关要求的密码产品和服务,并在网络安全等级测评中同步开展密码应用安全性评估。


该《指导意见》的发布,预示着等级保护制度将迎来强监管,各企业应对予以重视,避免不必要的合规风险。


那网络安全等级保护到底是什么?

2017年生效的《网络安全法》


2019年12月1日正式实施三大推荐性国家标准:

《信息安全技术 网络安全等级保护基本要求》(GB/T22239-2019)

《信息安全技术 网络安全等级保护测评要求》(GB/T28448-2019)

《信息安全技术 网络安全等级保护安全设计技术要求》

(GB/T25070-2019)


上述主要法律标准共同构成了等级保护2.0时代。


等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。简而言之,主要目的就为了我国网络安全运行。


等级保护工作主要包括定级、备案、建设整改、等级测评和监督检查 5个步骤。


图片


如何划分安全保护等级?从一级到五级由低到高,共分为五个等级。


图片


等级保护2.0定级流程如下:

qq.jpg


如何才算通过等级保护评测?等级保护测评结果及格分数为75分


一旦发生安全事件,如果没有进行等保测评,将会受到法律追责,重则面临牢狱之灾。


测评机构能够为等级保护工作提供哪些服务?

图片



附等级保护相关的主要法律标准文件:


(一)国家标准 …

GB/T 22240-2020 《信息安全技术 网络安全等级保护定级指南》


GB/T 22239-2019 《信息安全技术 网络安全等级保护基本要求》


GB/T 25070-2019 《信息安全技术 网络安全等级保护安全设计技术要求》


GB/T 28448-2019 《信息安全技术 网络安全等级保护测评要求》


GB/T 25058-2019 《信息安全技术 网络安全等级保护实施指南》


GB/T 28449-2018 《信息安全技术 网络安全等级保护测评过程指南》


GB/T 36959-2018 《信息安全技术 网络安全等级保护测评机构能力要求和评估规范》


GB/T 36627-2018 《信息安全技术 网络安全等级保护测试评估技术指南》



(二)相关法律法规 …

《中华人民共和国网络安全法》(2016)


《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》(公网安[2020]1960号)


《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)


《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号)


《信息安全等级保护工作的实施意见》(公通字[2004]66号)


《信息安全等级保护管理办法》(公通字〔2007〕43号)



(三)行业相关标准

金融行业信息安全等级保护测评服务安全指引》


《金融行业信息系统信息安全等级保护测评指南》


《金融行业信息系统信息安全等级保护实施指引》


《人民银行信息系统信息安全等级保护测评指南(试行)》


《人民银行信息系统信息安全等级保护实施指引(试行)》


《电信网和互联网安全等级保护实施指南》


《广播电视相关信息系统安全等级保护定级指南》


《广播电视相关信息系统安全等级保护基本要求》


《水利网络与信息安全体系建设基本技术要求》


《烟草行业信息系统安全等级保护基本要求》等


上一篇:等级保护对象的定级过程 下一篇:北京网络安全等级保护备案
Copyright © 2020-2021 信息安全等级保护资讯网 All Rights Reserved. 备案号码:皖ICP备19012162号-3
本站文章内容部分来源于网络转载,版权归作者所有。文章内容仅代表作者独立观点,不代表本站立场,转载目的在于传递更多信息。如有侵权,请联系删除。