等保2.0和等保三级测评的区别讲解
■ 什么是等保2.0
等保2.0是等保1.0的“升级版”,等保1.0是2007年和2008年颁布实施的《信息安全等级保护管理办法》和《信息系统安全等级保护基本要求》,被称为等保1.0。『 推荐:等保2.0测评的费用和整改资料信息 』
而等保2.0是针对等保1.0进行的优化版本,其中涵盖有等保评级改为优、良、中、差四个等级等内容,这边不做过多介绍。颁布等保2.0主要是为了更适应新技术的发展,更加贴切的测评新时代云安全相关内容,例如云计算,物联网等等信息技术新领域的等级保护。同时,等保2.0也是实现国家网络安全战略目标的基础。
■ 什么是等保三级
等保三级是目前对于非银行安全等级测评的最高级别,是等保二级的“升级版”,等保三级对于测评内容相对等保二级也是更加的严格,简单的说等保三级需要测评的内容包括5个等级保护安全技术要求和5个安全管理要求,具体包含信息保护、安全审计、通信保密等近300项要求,涉及73类测评分类。
而等保三级也是基于等保2.0下国家对于网络安全等级保护的要求,对于很多行业,如果不做等保测评认证可能其企业或者app都没有办法正常运营,例如教育行业的app就必须有等保备案,否则无法上线。
■ 等级保护包含哪些方面
根据GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》、GBT22240-2008《信息安全技术信息系统安全等级保护定级指南》、GB/T28448-2012《信息安全技术信息系统安全等级保护测评要求》等相关标准,将等级保护分为‘技术’和‘管理’两大模块,其中技术部分包含:物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复共五个方面;管理部分包含:安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理共五个方面。
■ 等级安全服务要求
网络安全应具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制。主机安全应保护云服务器账户、系统的安全,防范恶意代码。
安全审计应对用户进行身份鉴别、访问控制、安全审计;应能对网络中发生的各类安全事件进行识别、报警和分析;
应能检测到对虚拟网络节点的网络攻击行为,并能记录攻击类型、攻击时间、攻击流量。安全管理应具有定期对系统进行漏扫,发现漏洞后的处理措施;应满足数据完整性和数据保密性的要求。
■ 等级保护备案办理流程
1、摸底调查:摸清信息系统底数,掌握信息系统的业务类型、应用或服务范围、系统结构等基本情况。
2、确立定级对象:应用系统应按照业务类别不同单独确定为定级对象,不以系统是否进行数据交换、是否独享设备为确定定级对象。
3、系统定级:定级是信息安全等级保护工作的首要环节,是开展信息系统安全建设、等级测评、监督检查等工作的重要基础。
4、专家批审和主管部门审批:运营使用单位或主管部门在确定系统安全保护等级后,可以聘请专家进行评审。
5、备案:备案单位准备备案工具,填写备案表,生成备案电子数据,到公安机关办理备案手续。
6、备案审核:受理备案地公安机关要及时公布备案受理地点、备案联系方式等,对备案材料进行完整性审核和定级准确审核。
7、系统测评:第三级以上信息系统按《信息系统安全等级保护备案表》表四的要求提交01-07共七分材料。
8、整改实施:根据测评结果进行安全要求整改。
以上就是等保测评小编为大家整理与分享等保测评的那些事!每周、每月都会不断更新一些等保测评方面的知识分享给大家。如果您觉得以上内容对您有帮助,可以点个赞,也可以分享给更多的朋友们。