##資訊保安等級保護制度
我國於2023年發布了國家標準gb17859《計算機資訊保安保護等級劃分準則》,成為建立安全等級保護制度、實施安全等級管理的重要基礎性標準。目前已發布gb/t22239、gb/t22240、gb/t20270、gb/t 20271、gb/t 20272等配套標準10餘個,涵蓋了定級指南、基本要求、實施指南、測評要求等方面。gb17859的核心思想是對資訊系統特別是對業務應用系統安全分等級、按標準進行建設、管理和監督。國家對資訊保安等級保護工作運用法律和技術規範逐級加強監管力度,保障重要資訊資源和重要資訊系統的安全。
##iso 27000系列標準
iso 27000起源於英國的bs 7799標準系列,其中iso 27001是「資訊保安管理體系要求」(specification for information security management systems),是在組織內部建立資訊保安管理體系(isms)的一套規範,其中詳細說明了建立、實施、執行、監視、評審、保持和改進資訊保安管理體系的模型和要求,可用來指導相關人員應用iso 27002,其最終目的,通過規範的過程,建立適合組織實際要求的資訊保安管理體系。iso 27002提出了在組織內部啟動、實施、保持和改進資訊保安管理的指南和一般原則,包括11個要素,39個控制目標和133種控制措施;
首先來看二者標準的不同之處:
接下來看二者標準的相同之處:
單個拆開來看,等級保護或者iso 27000系列都有自己的優勢與不足。企業安全保障需要兩個標準的雙管齊下,等級保護基本要求內容細緻,iso 27000適用範圍廣,兩個體系融合形成全面細緻的可操作要求。從控制點來看,結合等級保護運維建設、iso 27000安全事件管理、iso 27000業務連續性管理形成新運維控制措施結合,二者內容的互相補充將使企業的網路安全得到更加有效的保障
在實施的過程中,一般方法是融合等級保護與風險評估,先分析資產,列出資產清單後使用等保控制點來識別脆弱性,在進行威脅識別後開始乙個總的風險分析,並給相關單位提出安全整改方案,指導安全體系的建立,最後還要進行定期的複查,大致的風評流程就是如此,等級保護與iso 27000融合實施,資訊保安保障一箭雙鵰。
等級保護標準:
十大重要標準
計算機資訊系統安全等級保護劃分準則 (gb 17859-1999) (基礎類標準)
資訊系統安全等級保護實施指南 (gb/t 25058-2010) (基礎類標準)
資訊系統安全保護等級定級指南 (gb/t 22240-2008) (應用類定級標準)
資訊系統安全等級保護基本要求 (gb/t 22239-2008) (應用類建設標準)
資訊系統通用安全技術要求 (gb/t 20271-2006) (應用類建設標準)
資訊系統等級保護安全設計技術要求 (gb/t 25070-2010) (應用類建設標準)
資訊系統安全等級保護測評要求 (gb/t 28448-2012)(應用類測評標準)
資訊系統安全等級保護測評過程指南 (gb/t 28449-2012)(應用類測評標準)
資訊系統安全管理要求 (gb/t 20269-2006) (應用類管理標準)
資訊系統安全工程管理要求 (gb/t 20282-2006) (應用類管理標準)
其它相關標準
gb/t 21052-2007 資訊保安技術 資訊系統物理安全技術要求
gb/t 20270-2006 資訊保安技術 網路基礎安全技術要求
gb/t 20271-2006 資訊保安技術 資訊系統通用安全技術要求
gb/t 20272-2006 資訊保安技術 作業系統安全技術要求
gb/t 20273-2006 資訊保安技術 資料庫管理系統安全技術要求
gb/t 20984-2007 資訊保安技術 資訊保安風險評估規範
gb/t 20985-2007 資訊保安技術 資訊保安事件管理指南
gb/z 20986-2007 資訊保安技術 資訊保安事件分類分級指南
gb/t 20988-2007 資訊保安技術 資訊系統災難恢復規範
iso 27000系列標準:
iso 27000 原理與術語principles and vocabulary
iso 27001 資訊保安管理體系—要求 isms requirements (以bs 7799-2為基礎)
iso 27002 資訊科技—安全技術—資訊保安管理實踐規範 (iso/iec 17799:2005)
iso 27003 資訊保安管理體系—實施指南isms implementation guidelines
iso 27004 資訊保安管理體系—指標與測量isms metrics and measurement
iso 27005 資訊保安管理體系—風險管理isms risk management
iso 27006 資訊保安管理體系—認證機構的認可要求isms requirements for the accreditation of bodies providing certification
iso 27007 資訊科技-安全技術-資訊保安管理體系審核員指南
等級保護與分級保護關係與區別
等級保護與分級保護既有聯絡又有區別 資訊等級保護,重點保護的物件是非涉密的涉及國計民生的重要資訊系統和通訊基礎資訊系統 涉密資訊系統分級保護是國家資訊保安等級保護的重要組成部分,是等級保護在涉密領域的具體體現。資訊等級保護重點保護的物件是涉及國計民生的重要資訊系統和通訊基礎資訊系統,而不論它是否涉密...
等級保護學習記錄 等級保護基本要求
發布單位 是由國家市場監督管理總局中國國家標準化委員會發布。與等保1.0 的不同之處?前言部分引出 標準名字的變更 調整分類,分類名字的變更,現更改為如下幾類 調整各個級別安全的級別要求 取消原來 a s g 標註,增加了附錄a 描述等級保護物件的定級結果和安全要求之間的關係。調整附錄a 附錄b順序...
等級保護是什麼?通俗的解釋等級保護工作
等保的全稱是資訊保安等級保護,是 網路安全法 規定的必須強制執行的,保障公民 社會 國家利益的重要工作。資訊保安等級保護是指對國家重要資訊 法人和其他組織及公民的專有資訊以及公開資訊和儲存 傳輸 處理這些資訊的資訊系統分等級實行安全保護,對資訊系統中使用的資訊保安產品實行按等級管理,對資訊系統中發生...