关于等保2.0安全通用要求和安全扩展性要求
由于等级保护对象承载的业务不同,对其的安全关注点会有所不同,有的更关注信息的安全性,即更关注对搭线窃听、假冒用户等可能导致信息泄密、非法篡改等;有的更关注业务的连续性,即更关注保证系统连续正常的运行,免受对系统未授权的修改、破坏而导致系统不可用引起业务中断。
不同级别的等级保护对象,其对业务信息的安全性要求和系统服务的连续性要求是有差异的,即使相同级别的等级保护对象,其对业务信息的安全性要求和系统服务的连续性要求也有差异。
等级保护对象定级后,可能形成的定级结果组合见下表。
| 安全保护等级 | 定级结果的组合 |
| 第一级 | S1A1 |
| 第二级 | S1A2,S2A2,S2A1 |
| 第三级 | S1A3, S2 A3, S3 A3, S3A2, S3A1 |
| 第四级 | S1A4, S2 A4, S3A4, S4A4, S4A3, S4A2, S4A1 |
| 第五级 | S1A5 ,S2A5, S3A5 ,S4A5, S5A4,S5A3, S5A2, S5A1 |
安全保护措施的选择应依据上述定级结果,本标准中的技术安全要求进一步细分为:保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改的信息安全类要求(简记为S);保护系统连续正常的运行,免受对系统的未授权修改、破坏而导致系统不可用的服务保证类要求(简记为A);其他安全保护类要求(简记为G)。本标准中所有安全管理要求和安全扩展要求均标注为G,安全要求及属性标识见下表。
| 技术/管理 | 分类 | 安全控制点 | 属性标识 |
| 安全技术要求 | 安全物理环境 | 物理位置选择 | G |
| 物理访问控制 | G | ||
| 防盗窃和防破坏 | G | ||
| 防雷击 | G | ||
| 防火 | G | ||
| 防水和防潮 | G | ||
| 防静电 | G | ||
| 温湿度控制 | G | ||
| 电力供应 | A | ||
| 电磁防护 | S | ||
| 安全通信网络 | 网络架构 | G | |
| 通信传输 | G | ||
| 可信验证 | S | ||
| 安全区域边界 | 边界防护 | G | |
| 访问控制 | G | ||
| 入侵防范 | G | ||
| 可信验证 | S | ||
| 恶意代码防范 | G | ||
| 安全审计 | G | ||
| 安全计算环境 | 身份鉴别 | S | |
| 访问控制 | S | ||
| 安全审计 | G | ||
| 可信验证 | S | ||
| 入侵防范 | G | ||
| 恶意代码防范 | G | ||
| 数据完整性 | S | ||
| 数据保密性 | S | ||
| 数据备份恢复 | A | ||
| 剩余信息保护 | S | ||
| 个人信息保护 | S | ||
| 安全管理中心 | 系统管理 | G | |
| 审计管理 | G | ||
| 安全管理 | G | ||
| 集中管控 | G | ||
| 安全管理要求 | 安全管理制度 | 安全策略 | G |
| 管理制度 | G | ||
| 制定和发布 | G | ||
| 评审和修订 | G | ||
| 安全管理机构 | 岗位设置 | G | |
| 人员配备 | G | ||
| 授权和审批 | G | ||
| 沟通和合作 | G | ||
| 审核和检査 | G | ||
| 安全管理人员 | 人员录用 | G | |
| 人员离岗 | G | ||
| 安全意识教育和培训 | G | ||
| 外部人员访问管理 | G | ||
| 安全建设管理 | 定级和备案 | G | |
| 安全方案设计 | G | ||
| 产品采购和使用 | G | ||
| 自行软件开发 | G | ||
| 外包软件开发 | G | ||
| 工程实施 | G | ||
| 测试验收 | G | ||
| 系统交付 | G | ||
| 等级测评 | G | ||
| 服务供应商管理 | G | ||
| 安全运维管理 | 环境管理 | G | |
| 资产管理 | G | ||
| 介质管理 | G | ||
| 设备维护管理 | G | ||
| 漏洞和风险管理 | G | ||
| 网络与系统安全管理 | G | ||
| 恶意代码防范管理 | G | ||
| 配置管理 | G | ||
| 密码管理 | G | ||
| 变更管理 | G | ||
| 备份与恢复管理 | G | ||
| 安全事件处置 | G | ||
| 应急预案管理 | G | ||
| 外包运维管理 | G |
对于确定了级别的等级保护对象,应依据第一张表的定级结果,结合第二张表使用安全要求,应按照以下过程进行安全要求的选择:
a)根据等级保护对象的级别选择安全要求。方法是根据本标准,第一级选择第一级安全要求,第二级选择第二级安全要求,第三级选择第三级安全要求,第四级选择第四级安全要求,以此作为出发点。
b)根据定级结果,基于第一张表和第二张表对安全要求进行调整。根据系统服务保证性等级选择相应级别的系统服务保证类(A类)安全要求;根据业务信息安全性等级选择相应级别的业务信息安全类(S类)安全要求;根据系统安全等级选择相应级别的安全通用要求(G类)和安全扩展要求(G类)。
c)根据等级保护对象采用新技术和新应用的情况,选用相应级别的安全扩展要求作为补充。采 用云计算技术的选用云计算安全扩展要求,采用移动互联技术的选用移动互联安全扩展要求, 物联网选用物联网安全扩展要求,工业控制系统选用工业控制系统安全扩展要求。
d)针对不同行业或不同对象的特点,分析可能在某些方面的特殊安全保护能力要求,选择较高级别的安全要求或其他标准的补充安全要求。对于本标准中提出的安全要求无法实现或有更加有效的安全措施可以替代的,可以对安全要求进行调整,调整的原则是保证不降低整体安全保护能力。
总之,保证不同安全保护等级的对象具有相应级别的安全保护能力,是安全等级保护的核心。选用本标准中提供的安全通用要求和安全扩展要求是保证等级保护对象具备一定安全保护能力的一种途径和出发点,在此出发点的基础上,可以参考等级保护的其他相关标准和安全方面的其他相关标准,调整和补充安全要求,从而实现等级保护对象在满足等级保护安全要求基础上,又具有自身特点的保护。
关于等保2.0安全通用要求和安全扩展性要求相关推荐
- 等保2.0通用测评要求
等保2.0通用测评要求 文章目录 等保2.0通用测评要求 一.安全物理环境 1.1 物理位置选择 1.2物理访问控制 1.3防盗窃和防破坏 1.4防雷击 1.5防火 1.6防水和防潮 1.7防静电 1 ...
- 网络安全:等保2.0落地在即,触发五百亿新增市场
报告数据来源:华创证券.东方财富.东吴证券 前 言: 据公安部十一局七处处长祝国邦:<网络安全等级保护技术>2.0版本将于5月13日发布.相比等保1.0只针对网络和信息系统,等保2.0把云 ...
- 等保2.0丨2021 必须了解的40个问题
等保2.0丨2021 必须了解的40个问题 https://mp.weixin.qq.com/s/KZViNKGMp1ZPr4Ex5-6YUA IT的信创知识库 3月2日 为了让有过保需求的客户能够更 ...
- 等保2.0标准发布一周年,行业用户如何有效落实合规建设
等保2.0标准发布一周年,行业用户如何有效落实合规建设 5月10日,等级保护2.0三项核心国家标准已经正式发布一周年.各行各业都非常重视等级保护建设,相继出台了行业等级保护政策及标准文件.新国标的发布 ...
- 等保2.0标准下,测评中重点关注的内容
等保2.0标准下,测评中重点关注的内容 2019-09-03 10:06:38 万方科技 519 在等保2.0中,无论测评对象是什么,一定要符合安全测评通用要求,我们就针对这一部分,看看测评过程中, ...
- 等保2.0基本要求与等保1.0对比解读
等级保护共分为五级具体介绍如下: https://blog.csdn.net/weixin_33860528/article/details/89573660 等级保护2.0发布后,市场上铺天盖地的出 ...
- 等保2.0:这些等保测评要求,你都知道吗?
等保2.0:这些等保测评要求,你都知道吗? 等级保护工作流程是怎样的? 等级保护测评有哪些技术类型?具体指标如何? 等保基本要求的三种技术类型(S/A/G) 贯彻落实等级保护2.0是关键基础设施运营单 ...
- 智安网络丨什么是等保2.0?
等保2.0于在2019年12月1日开始实施,下面我们从多个角度切入,带大家详细了解等级保护2.0到底是什么. 等保1.0回顾 在开始讲等保2.0之前,让我们先回顾一下等保1.0.等保1.0发布距今已经 ...
- 等保2.0正式发布了吗?核心思想包括什么?
虽然大家都非常关心等保政策,但在实际工作不是很清楚.很多人在问,等保2.0正式发布了吗?核心思想包括什么? 等保2.0正式发布了吗? 等保2.0已经正式发布了.2019年5月13日,国家市场监督管理总 ...
最新文章
- java MDC_log4j MDC实现日志追踪
- An Algorithm Summary of Programming Collective Intelligence
- linux怎么远程命令,Linux远程命令
- CF196E Opening Portals
- android studio背景模糊_[Android翻译]CameraX:过去、现在和未来的一瞥
- 前端学习(3081):vue+element今日头条管理-创建页面组件并加载
- docker小实战和应用
- (一)Eureka搭建服务注册中心
- leetcode - 39. 组合总和
- wpf绑定之格式化日期
- regex example
- Android编译内核并刷入
- 阿里云建站保证百度收录3000+网站模板
- java求数组的平均值_Java中数组求平均值,最大值,最小值。
- 鸿蒙手机开发者申请,鸿蒙OS 2.0手机开发者Beta公开招募上线:P40/Mate 30可申请
- 小程序如何生成二维码海报?
- 阿里达摩院发布2019十大科技趋势:AI、区块链等入选-千氪
- 【技术分享】Win10系统安装CTeX2.9.2+WinEdt11详细教程
- 佛说.今生娶你的人,就是前世埋葬你的人
- 安徽省宣城市谷歌卫星地图下载