1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 文学/历史/军事/艺术
  5. 声乐器乐

信创领域下的等保合规及解读.docx

信创领域下的等保合规及解读.docx

此“司法”领域文档为创作者个人分享资料,不作为权威性指导和指引,仅供参考
    1. 1、本文档共77页,可阅读全部内容。
    2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
    3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
    4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
    查看更多

    信创领域下的等保合规及解读

    123

    1

    2

    3

    新标准体系的总体变化

    新标准中主要条款的解读

    新标准对标信创介绍

    1

    1

    新标准体系的总体

    整体变化-名称变化

    等级保护2.0标准名称变化:

    GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》改为

    过渡期:信息安全上升到了网络空间安全的层面

    GB/T22239-2019《信息安全技术网络安全等级保护基本要求》

    GB/T25070-2019《信息安全技术网络安全等级保护安全设计技术要求》

    GB/T28448-2019《信息安全技术网络安全等级保护测评要求》

    与《中华人民共和国网络安全法》中的第二十一条保持一致,网络安全等级保护上升为法律,

    正制定《网络安全等级保护条例(征求意见稿)》

    新标准某级安全要求安全通用要求云计算安全扩展要求移动互联安全扩展要求物联网安全扩展要求工业控制系统安全扩展要求整体变化-安全要求变化

    新标准某级安全要求

    安全通用要求

    云计算安全扩展要求

    移动互联安全扩展要求

    物联网安全扩展要求

    工业控制系统安全扩展要求

    安全通用要求

    安全通用要求

    旧版标准

    安全通用要求+安全扩展要求

    ?安全通用要求

    不管等级保护对象的形态如何必须满足的要求。

    ?安全扩展要求

    针对云计算、移动互联、物联网和工业控制系统提出了特殊安全要求。

    新版标准

    涉及标准:

    网络安全等级保护基本要求网络安全等级保护安全设计技术要求

    网络安全等级保护基本要求

    网络安全等级保护安全设计技术要求网络安全等级保护测评要求

    ?信息安全技术

    ?信息安全技术

    ———整体变化-控制措施分类变化

    ———

    安全技术要求

    安全技术要求

    体系结构

    安全管理要求

    安全管理要求

    安全管理制度

    安全管理制度

    安全管理机构

    人员安全管理

    系统建设管理

    系统运维管理

    安全管理制度

    安全管理制度

    安全管理机构

    安全管理人员

    安全建设管理

    安全运维管理

    与GB/T25070《网络安全等级保护安全设计

    技术要求》的体系结构保持一致.

    整体变化-整体架构

    整体变化-保护要求精简

    《基本要求》1.0(三级通用要求)

    《基本要求》2.0(三级通用要求)

    序号

    安全控制类

    安全控制点

    安全要求项

    序号

    安全控制类

    安全控制点

    安全要求项

    1

    物理安全

    10

    32

    1

    安全物理环境

    10

    22

    2

    网络安全

    7

    33

    2

    安全通信网络

    3

    8

    3

    主机安全

    8

    32

    3

    安全区域边界

    6

    20

    4

    应用安全

    8

    31

    4

    安全计算环境

    11

    34

    5

    数据安全

    3

    8

    5

    安全管理中心

    4

    12

    6

    安全管理制度

    3

    11

    6

    安全管理制度

    4

    7

    7

    安全管理机构

    5

    20

    7

    安全管理机构

    5

    14

    8

    人员安全管理

    5

    16

    8

    安全管理人员

    4

    12

    9

    系统建设管理

    11

    45

    9

    安全建设管理

    10

    34

    10

    系统运维管理

    13

    62

    10

    安全运维管理

    14

    48

    合计

    73

    290

    合计

    71

    211

    2

    2

    新标准中主要条款的解读

    符合GB50174

    《电子信息系统机房设计规范》的要求

    信设备的可信验证通信安全设计

    信设备的可信验

    核心链路

    双冗余

    通信传输

    加密①

    通信传输

    通信传输

    基于可信根对通

    可信验证

    可信验证

    核心应用与外部安全隔离

    边界安全设计

    边界访问控制

    入侵防范

    边界防护

    运维审计

    安全审计

    垃圾邮件

    防范

    访问控制

    访问控制

    入侵防范

    入侵防范

    安全审计

    安全审计

    恶意代码和垃圾邮件防范

    可信验证

    基于可信根对边界设备的可信验证

    计算环境安全设计

    身份鉴别

    访问控制

    安全审计

    入侵防范

    恶意代码防护

    安全审计恶意代码防范

    安全审计

    入侵防范

    可信验证

    安全审计身份鉴别、访问控制基于可信根对计算设备的可信验证

    安全审计

    身份鉴别、访问控制

    数据定期备份(本地、异地)计算环境安全设计

    数据定期备份(本地、异地)

    数据防泄

    密系统

    (DLP)

    剩余信息保护

    剩余信息保护

    个人信息保护

    应用系统实现

    应用系统

    应用系统采用密码

    技术

    保护机制

    安全管理中心设计

    系统运维管理、

    三员分离

    集中管控

    集中管控

    集中管控

    安全管理制度

    1.安全策略:制定总体方针与安全策略,包括总体目标、范围、原则与框架等。

    2.管理制度:日常工作有安全管理制度;为主要(各类)管理内容建立安全制度,日常管理有操作规程;形成安全管理体系(四级体系:安全策略、管理制度、

    操作规程、记录表单等)。

    3.制定和发布:专门发布部门或人员,正式发布,版本控制。

    4.评审和修订:定期评审和修订。

    安全管理机构

    1.岗位设置:成

    您可能关注的文档

    最近下载

    文档评论(0)

    4A方案 + 关注
    实名认证
    服务提供商

    擅长策划,|商业地产|住房地产|暖场活动|美陈|圈层活动|嘉年华|市集|生活节|文化节|团建拓展|客户答谢会

    咨询作者(1376人已咨询) 服务中

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >