您好!欢迎访问云南IT信息网
广告位

什么是等保以及等保测评?

栏目: 日期: 浏览:2

等保全称为网络安全等级保护(简称等保),在等保1.0时代称之为“信息安全等级保护”,2016年网络安全法发布后,为了与网络安全法同步,2018年之后发布相关标准都改名为“网络安全等级保护”,也称之为等保2.0,那什么是网络安全等级保护呢?在GB/T25058-2019中描述为“安全等级保护的核心是将等级保护对象划分等级,按照标准进行建设、管理和监督。”可以简单的理解为“等级保护对象根据划分的等级进行安全保护”。在这里特别需要注意的是等级保护对象不包括涉及国家秘密信息系统。

如何知道等级保护对象需要进行什么样的保护?保护符合不符合标准?就要通过网络安全等级测评机构进行测评,也称之为等保测评。等保测评是等保测评机构根据运营、使用单位的委托或者根据等保管理部门的授权,协助运营、使用单位或等保管理部门,按照国家网络安全等级保护的管理规范和技术标准,对已经完成等级保护建设的等级保护对象进行测评,出具测评报告的过程。

等保发展历程

等保最早是1994年国务院147号令《中华人民共和国计算机信息系统安全保护条例》第九条“计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。201118日修订。初步奠定了等级保护制度的基础,这里也初步明确了等保的定义为:“信息系统实行安全等级保护,并根据不同等级设定具体的保护措施,具体措施由公安部会同有关部门制定”。

1999913日,由国家公安部提出并组织制定,国家质量技术监督局发布了《计算机信息系统安全保护等级划分准则》(GB17859-1999),并定于200111日实施,其中把计算机信息安全划分为了5个等级(第一级:用户自主保护级;第二级:系统审计保护级;第三级:安全标记保护级;第四级:结构化保护级;第五级:访问验证保护级)。

2003年国家信息化领导小组关于加强信息安全保障工作的意见 (中办发[2003]27号)发布,明确指出,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南“。

2004年公安部联合国家保密局、国家密码管理局、国务院信息化工作办公室发布《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)基本明确信息安全等级保护的原则和实施方法,职责分工和工作要求等,目标是经过三年的努力,逐步将信息安全保护制度落实到信息安全的规划、建设、评估、运行维护等各个环节,使我国信息安全情况得到基本改善。同时2007年印发《信息安全等级保护管理办法(公通字[2007]43号)进一步明确等级划分办法,实施和管理要求,使用的标准,定级备案相关要求,法律责任等。同年公安部也发布了等保相关的标准包括《GA/T 712-2007 信息安全技术 应用软件系统安全等级保护通用测试指南》《GA/T 709-2007 信息安全技术 信息系统安全等级保护基本模型》等,基本奠定了等保的基础。

接下来是2007年公安部联合国家保密局、国家密码管理局、国务院信息化工作办公室发布《关于开展全国重要信息系统安全等级保护定级工作的通知 (公信安[2007]861号)》,2009年公安部发布《关于开展信息安全等级保护安全建设整改工作的指导意见 (公信安[2009]1429号)》等相关的管理文件,更进一步推动等级保护制度的落地实施,生根发芽。

同时在2007-2012年逐步发布等保1.0的相关标准,具体如下:

GB/T 28448-2012信息安全技术 信息系统安全等级保护测评要求》

GB/T 28449-2012信息安全技术 信息系统安全等级保护测评过程指南》

GB/T 25058-2010信息安全技术 信息系统安全等级保护实施指南》

GB/T 25070-2010信息安全技术 信息系统等级保护安全设计技术要求》

GB/T 22239-2008信息安全技术 信息系统安全等级保护基本要求》

GB/T 22240-2008信息安全技术 信息系统安全等级保护定级指南》

GB/T 21053-2007信息安全技术 公钥基础设施 PKI系统安全等级保护技术要求》

GB/T 21054-2007信息安全技术 公钥基础设施 PKI系统安全等级保护评估准则》

至此,等保1.0的法律法规、标准也基本成型,等保1.0制度已然成熟并且落地实施,监管与测评并从的局面从此开始,等保测评机构也像雨后春笋般发展起来,同时孕育了一大批的信息安全厂商和等保服务提供商。

随着时代的发展,信息化不断的普及,新技术新应用的崛起,等保1.0相关的标准和政策存在明确的缺陷和短板,直到2016年《中华人民共和国网络安全法》发布,(201761日实施),在网络安全法的进一步推动下,相关管理部门积极推动等保2.0的更新迭代,2017年公安部推动发布相关公共安全标准,2018年开始逐步推动国家标准的发布,2019年正式发布《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》代表着等保2.0时代正式来临,同时等保1.0时代相关标准废止,现行等保2.0的相关标准如下:

GB/T 22240-2020信息安全技术 网络安全等级保护定级指南》

GB/T 25058-2019信息安全技术 网络安全等级保护实施指南》

GB/T 25070-2019信息安全技术 网络安全等级保护安全设计技术要求》

GB/T 22239-2019信息安全技术 网络安全等级保护基本要求》

GB/T 28448-2019信息安全技术 网络安全等级保护测评要求》

GB/T 28449-2018信息安全技术 网络安全等级保护测评过程指南》

GB/T 36958-2018信息安全技术 网络安全等级保护安全管理中心技术要求》

GB/T 36959-2018信息安全技术 网络安全等级保护测评机构能力要求和评估规范》

GB/T 37138-2018电力信息系统安全等级保护实施指南》

GB/T 36627-2018信息安全技术 网络安全等级保护测试评估技术指南》

2021年监管机构根据标准情况发布了2021版的报告模板,将前期等保报告结论进行颠覆性的修改,将原来:符合/基本符合/不符合的结论调整为:优良中差,整体要求变得更加严格,在经过几年的使用之后,于2025年又根据现实情况调整报告模板,结论换回1.0版本的结论(符合/基本符合/不符合)等,根据现在的监管管理需要,增加了重大风险隐患的判定,进一步增加测评人员在对信息安全风险分析,风险隐患的判定的专业性。


关键词: