2.2 网络安全标准体系
2.2.1 通用/基础标准
二十多年来,公安部牵头组织国内专家、安全企业制定了一系列网络安全等级保护标准,形成了网络安全等级保护标准体系,为中国网络安全等级保护实施工作提供了标准依据。
网络安全等级保护标准体系由等级保护过程中所需的所有标准组成,整个体系可以从多个维度分析。从基础分类角度出发,可以分为:基础标准、技术标准以及管理类标准;从对象角度出发,可以分为:基础标准、系统标准、产品标准、安全服务标准以及安全事件标准等;从网络安全等级保护生命周期出发,可以分为:通用 / 基础
标准、系统定级标准、建设标准、等级测评标准、运行维护及其他标准。本书作为信息安全项目实施规划设计指导用书,从网络安全等级保护生命周期角度对网络安全等级保护 2.0 主要相关标准进行梳理,便于读者理解。
1.《计算机信息系统安全保护等级划分准则》(GB 17859-1999)《计算机信息系统安全保护等级划分准则》是强制性国家标准,也是等级保护的基础标准,以此为基础制定了网络安全等级保护技术类、管理类和产品类等标准,《计算机信息系统安全保护等级划分准则》是其他相关标准的基石。
2.《信息安全技术 网络安全等级保护实施指南》(GB/T 25058-2019)2019 年更新的《信息安全技术 网络安全等级保护实施指南》是网络安全等级保护 2.0 的核心标准之一。本标准说明了网络安全等级保护实施的基本原则,参与角色以及在信息系统定级、总体安全规划、安全设计与实施、安全运行维护、信息系统终止等主要阶段中应按照网络安全等级保护政策、标准要求实施等级保护工作内容。
2.2.2 系统定级标准
1.《信息安全技术 网络安全等级保护定级指南》(GB/T 22240-2020)本标准替代了《信息安全技术 信息系统安全等级保护定级指南》(GB/T 22240-2008),给出了非涉及国家秘密的等级保护对象的安全保护等级定级方法和定级流程,适用于指导网络运营者开展非涉及国家秘密的等级保护对象的定级工作。
2.《信息安全技术 网络安全等级保护定级指南》(GA/T 1389-2017)定级是信息安全等级保护实施的首要环节,该标准综合考虑保护对象在国家安全、经济建设、社会生活中的重要程度,以及保护对象遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织合法权益的危害程度等因素,提出确定保护对象安全保护等级的方法。该标准为公共安全行业标准,对《信息安全技术 信息系统安全等级保护定级指南》(GB/T 22240-2008)进行修改完善,将对公民、法人和其他组织的合法权益产生特别严重损害,调整到第三级;增加了云计算平台、大数据平台、物联网、工业控制系统、大数据的定级方法
2.2.3 建设标准
1.《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)2019 年更新的《信息安全技术 网络安全等级保护基本要求》是网络安全等级保护 2.0 的核心标准之一。该标准在网络安全等级保护制度中非常关键,被广泛应用于各个行业的用户开展网络安全等级保护的等级测评、建设工作。该标准的主要内容包括网络安全等级保护技术通用要求、云计算安全扩展要求、移动互联网安全扩展要求、物联网安全扩展要求和工业控制系统安全扩展要求。
2.《信息安全技术 网络安全等级保护安全设计技术要求》(GB/T 25070-2019)2019 年更新的《信息安全技术 网络安全等级保护安全设计技术要求》是网络安全等级保护 2.0 的核心标准之一。本标准针对等级保护对象突出安全计算环境设计技术要求、安全区域边界设计技术要求、安全通信网络设计要求、安全管理中心设计技术要求,以及针对无线移动接入、云计算、大数据、物联网和工业控制系统等新技术、新应用领域增加相应的安全设计要求等内容。
3.《信息安全技术 信息系统安全管理要求》(GB/T 20269-2006)
本标准对信息和信息系统的安全保护提出分等级安全管理的要求,阐述了安全管理要素及其强度,并将管理要求落实到信息安全等级保护所规定的 5 个等级上,有利于安全管理的实施、评估和检查。
4.《信息安全技术 信息系统安全工程管理要求》(GB/T 20282-2006)本标准规定了信息系统安全工程的管理要求,是对信息系统安全工程中所涉及的需求方、实施方以及第三方工程实施的指导性文件,各方可根据此文件建立安全工程
2.2.4 等级测评标准
1.《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019)2019 年更新的《信息安全技术 网络安全等级保护测评要求》是网络安全等级保护 2.0 的核心标准之一。该标准依据《信息安全技术 网络安全等级保护基本要求》规定了网络进行等级保护测试评估的内容和方法,用以规范和指导测评人员的等级测评活动。
2.《信息安全技术 信息系统安全等级保护测评过程指南》(GB/T 28449-2012)该标准以测评机构为第三级网络的首次等级测评活动过程为主要线索,定义等级测评的主要活动和任务,包括测评准备活动、方案编制活动、现场测评活动、分析与报告编制活动 4 项工作,为等级测评机构、网络运营者在等级测评工作中提供指导。
2.2.5 运行维护及其他标准
1.《信息技术 安全技术 信息安全事件管理指南》(GB/Z 20985-2007)本标准描述了信息安全事件管理的全过程,提供了规划和制定信息安全事件管理策略和方案的指南,给出了管理信息安全事件和开展后续工作的相关过程和规程。
2.《信息安全技术 信息安全事件分类分级指南》(GB/Z 20986-2007)本标准为信息安全事件的分类分级提供指导,用于信息安全事件的防范与处置,为事前准备、事中应对、事后处理提供一个基础指南,可供信息系统和基础信息传输网络的运营和使用单位以及信息安全主管部门参考使用。
3.《信息安全技术 信息系统灾难恢复规范》(GB/T 20988-2007)本标准规定了信息系统灾难恢复应遵循的基本要求,可用于指导信息系统灾难恢复的规划和实施工作,也可用于信息系统灾难恢复项目的审批和监督管理。
4.《信息安全技术 信息安全风险评估规范》(GB/T 20984-2007)本标准提出风险评估的基本概念、要素关系、分析原理、实施流程和评估方法,以及风险评估在信息系统生命周期不同阶段的实施要点和工作形式。本标准适用于规范组织开展的风险评估工作。
5.《信息安全技术 信息系统物理安全技术要求》(GB/T 21052-2007)本标准规定了信息系统物理安全分级技术的要求,适用于按 GB 17859-1999 的安全保护等级要求所进行的等级化的信息系统物理安全的设计和实现,按 GB 17859-1999 的安全保护等级的要求对信息系统物理安全进行的测试、管理可参照使用。
6.《信息安全技术 网络基础安全技术要求》(GB/T 20270-2006)本标准根据 GB 17859-1999 的 5 个安全保护等级划分,根据网络系统中的作用,规定各个安全等级的网络系统所需要的基础安全技术要求。本标准适用于按等级化的要求进行的网络系统的设计和实现,按等级化要求进行的网络系统安全的测试和管理可参照使用。受篇幅限制,本书未将所有网络安全标准罗列,读者可在相关网站查阅其他内容,网络安全等级保护相关标准体系架构如图 2-1 所示。
图 2-1 网络安全等级保护相关标准体系架构
