等保1.0
标准全称:《GBT22239-2008 信息安全技术 信息系统安全等级保护基本要求》
1、受众群体:信息系统
2、引用了17859《计算机信息系统安全保护等级划分准则》
3、分成五级保护能力
4、基本安全要求分为基本技术要求+基本管理要求
- 基本技术要求:
- 物理安全
- 网络安全
- 主机安全
- 应用安全
- 数据安全
- 基本管理要求:
- 安全管理制度
- 安全管理机构
- 人员安全管理
- 系统建设管理
- 系统运维管理
5、基本技术要求三种类型SAG
- S信息安全类
- A服务保证类
- G通用安全保护类
等保1.0和等保2.0的学习
等保2.0标准全称:《GBT22239-2019 信息安全技术 网络安全等级保护基本要求》
等保1.0和2.0的等级保护对象:
网络基础设施、信息系统、大数据、物联网云平台、工控系统、移动互联网、智能设备等。
等保1.0和等保2.0的内容:
等保1.0:安全要求
等保2.0:安全通用要求和安全扩展要求
等保的基本要求、、测评要求、设计技术要求统一框架,构建“一个中心、三重防”
《网络安全法》第五十九条规定:网络运营者不履行义务的:由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处
一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
关键信息基础设施的运营者不履行义务的 :由有关主管部门责令改正,给予警告;
拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
重点:用户单位不做等级保护测评,用户单位需要被罚款1万-100万;主管人员需要被罚款5000-100000。
新技术新业务跟之前的风险评估的区别:
①评估对象不同
新技术新业务的评估对象主要为互联网站、应用程序、论坛博客、微博、搜索引擎、即时通信工具、新闻舆论应用、社会动员功能应用等消息传递媒体。
而风险评估的评估对象范围更大,包括电信网和互联网相关系统资产。
新技术新业务相比来说,更加细节化,具体化。
②评估方式的不同
新技术新业务的评估方式主要为具体规划至文档审查、人员访谈、现场查验、演示查验、测评核验。
而风险评估主要是资产识别、威胁识别、脆弱性识别以及已有安全措施识别。
问卷调查和现场面谈。
③之前的评估内容大多集中在网络、系统和应用软件。
而新技术新业务主要针对互联网发展的业务、技术,更多的是数据安全。
两者的准备情况是差不多的。
等保1.0和新技术新业务
等保1.0的基本技术要求是物理安全、网络安全、主机安全、应用安全、数据安全
新技术新业务的风险评估模型为业务应用安全、业务平台安全、业务运行安全和数据安全。
575
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
