等级保护2.0的要求与建设实践.pdf

等级保护2.0的要求与建设实践 为什么需要等保2.0 1999年， 《GB17859 计算机信息系统安全保护等级划分准则 》发布，距今 已经19年。距离2008年的 《GB22239-2008信息系统安全等级保护基本要求》也 已经10年。期间，技术日新月异，云计算、大数据、物联网、 移动互联网、智能化…… 2 为什么需要等保2.0 同时，面临的安全考验也日趋严峻，棱镜门、WannaCry、0-Day、 APT、社会工程攻击…… 传统信息安全的边界越来越模糊，新的攻击形态层出不穷，安全威胁呈 现复杂常态化趋势。 因此 等保1.0已经不能满足新形势、新技术和新应用下的安全需要。 3 等级保护1.0时代 政策环境营造 1994- 1994年，国务院颁布 《中华人民共和国计算机信息系统安全保护条例》，规定计算机信息系统实行安全等级保护。 2003 2003年，中央办公厅、国务院办公厅颁发 《国家信息化领导小组关于加强信息安全保障工作的意见》 （中办发[2003]27号）明确指出“实行信息安全等级保护” 工作开展准备 2004- 2004-2006年，公安部联合四部委开展涉及65117家单位，共115319个信息系统的等级保护基础调查和等 2006 级保护试点工作，为全面开展等级保护工作奠定基础。 工作正式启动 2007- 2007年6月，四部门联合出台 《信息安全等级保护管理办法》。 2010 2007年7月，四部门联合颁布 《关于开展全国重要信息系统安全等级保护定级工作的通知》。 2007年7月20 日，召开全国重要信息系统安全等级保护定级工作部署专题电视电话会议，标 志着信息安全等级保护制度正式开始实施。 23年的历程 工作规模推进 2010- 2010年4月，公安部出台 《关于推动信息安全等级保护 一路走来，等级保护与国家信息化发 2016 测评体系建设和开展等级测评工作的通知》，提出等级 展相生相伴，从探索到成熟、从各方 保护工作的阶段性目标。 质疑到达成广泛共识，今天，它已经 2010年12月，公安部和国务院国有资产监督管理委员 会联合出台 《关于进一步推进中央企业信息安全等级保 成为我们国家信息安全领域影响最为 护工作的通知》，要求中央企业贯彻执行等级保护工作。 深远的保障制度。 4 等级保护2.0时代 全国信息安全等级保护技术大会 等级保护标准体系 《网络安全等级保护条例》 首次提出