理解等保测评中二、三级
2021-04-10 20:08:46 
阿炯
等保测评和密评都是必须要做的,不做是不符合相关法律法规要求的,并可能带来严重的安全风险。以下是对两者的详细解释:
等保测评
1.必要性:《中华人民共和国网络安全法》明确规定,网络运营者应当按照网络安全等级保护制度的要求,履行相关的安全保护义务。等保测评是网络安全等级保护制度的重要组成部分,通过测评可以全面评估信息系统的安全状况,发现潜在的安全隐患和漏洞,从而为企业制定针对性的安全防护策略提供重要依据。不履行网络安全保护义务的网络运营者,将受到有关主管部门的责令整改、处以罚款、警告等惩罚措施。
2.流程:
系统定级:编写定级报告,填写定级备案表。
系统备案:将定级材料提交至公安机关进行备案审核。
整改实施:对系统进行调研,开展差距评估,完成相应设备采购及调整、策略配置调试、完善管理制度等工作。
系统测评:请当地测评机构对系统进行全方面测评,测评评分合格后获得合格测评报告,并最终获得等级保护备案证。
运维检查:系统持续运维与优化,并按照相关要求进行年检。
影响:未履行等保测评的处罚主要依据《网络安全法》及相关法规进行。以下是对未履行等保测评可能面临的处罚的详细解释:
一、责令改正与警告
对于未履行等保测评的网络运营者,有关主管部门将首先责令其改正,即要求其按照网络安全等级保护制度的要求,进行相应的等级保护测评。同时,还会对网络运营者给予警告,提醒其重视网络安全等级保护制度的重要性。
二、罚款
如果网络运营者拒不改正或者导致危害网络安全等后果,有关主管部门将对其处以罚款。根据《网络安全法》第五十九条的规定,罚款的金额范围如下:
一般网络运营者:处一万元以上十万元以下罚款。
关键信息基础设施的运营者:处十万元以上一百万元以下罚款。
同时,对直接负责的主管人员和其他直接责任人员,也将处以罚款,金额范围如下:
一般网络运营者的直接责任人员:处五千元以上五万元以下罚款。
关键信息基础设施运营者的直接责任人员:处一万元以上十万元以下罚款。
三、其他可能的后果
除了上述的法律处罚外,未履行等保测评还可能带来以下后果:
安全风险增加
系统潜在的安全隐患和新出现的威胁可能得不到及时发现和修复,增加了信息泄露、数据被篡改、系统瘫痪等安全事件发生的概率。
企业声誉受损
对于依赖信息安全认证开展业务的金融、政务、医疗等行业,未履行等保测评义务可能损害企业信誉,影响客户信任,甚至导致业务合作中断。
理赔与经济风险
一些保险公司要求被保险人在发生网络安全事件时,必须维持等保测评的有效状态。若因未进行测评而影响理赔,将增加企业的经济损失。
密评
1.必要性:密评(商用密码应用安全性评估)是确保信息系统在使用商用密码进行保护时能够达到合规、正确和有效要求的重要手段。通过密评,可以及时发现密码应用过程中存在的问题,规范密码的使用和管理,从而切实保障国家网络和信息安全。相关法律法规也明确规定了关键信息基础设施的运营者必须按照要求使用商用密码,并开展商用密码应用安全性评估。
2.流程:
编制密码应用方案(改造方案):责任单位根据信息系统需求编制密码应用方案。
方案评估:委托密评机构对密码应用方案进行评估。
建设整改:责任单位按照通过评估的密码应用方案进行相应建设,并委托密评机构开展系统评估。
系统评估:密评机构对信息系统进行密码应用安全性评估,并出具评估报告。
备案:将评估报告报送至密码管理部门进行备案。
3.影响:未履行密评的处罚主要依据《密码法》及相关法规进行。以下是关于未履行密评可能面临的处罚的详细解释:
一、法律处罚
1).责令改正与警告
若违反《密码法》规定,未按照要求使用商用密码或未开展商用密码应用安全性评估,由密码管理部门责令改正并给予警告。
2).罚款
对于拒不改正或导致危害网络安全等后果的,将处以十万元以上一百万元以下的罚款。
对直接负责的主管人员,则处以一万元以上十万元以下的罚款。
二、项目管理与资金安排影响
1).项目整改与通报批评
若国家政务信息化项目在密码应用、网络安全等方面违反国家有关规定或批复要求,项目审批部门将要求项目建设单位限期整改。
逾期不整改或整改后仍不符合要求的,将对其进行通报批评。
2).资金与投资计划影响
对于不符合密码应用和网络安全要求,或存在重大安全隐患的政务信息系统,将不安排运行维护经费。
项目建设单位也不得新建、改建、扩建政务信息系统。
对于整改后仍不符合要求的政务信息系统建设项目,项目审批部门可以暂缓安排投资计划、暂停项目建设,直至终止项目。
三、单位声誉与业务合作影响
未履行密评或测试结果不合格可能导致单位在公众心目中的信任度下降,进而影响单位的声誉和业务合作。对于直接负责的主管人员,若因未按照要求开展密评或导致测试结果不合格而受到处罚,可能会对其职业发展产生负面影响。
等保测评和密评都是确保信息系统安全的重要手段,必须按照相关法律法规的要求进行。不做等保测评和密评将带来严重的安全风险,并可能受到法律制裁。因此,网络运营者应高度重视等保测评和密评工作,确保信息系统的安全稳定运行。下面就简单展开来介绍等保测评的相关过程。
在网络安全等级保护2.0国家标准(等保2.0)中,信息安全等级保护分为五级,分别是第一级(自主保护级)、第二级(指导保护级)、第三级(监督保护级)、第四级(强制保护级)和第五级(专控保护级),一至五级等级逐级增高。
虽然等保分为五个级别,但实现项目落地的都是二、三和四级,最低的一级单位作为建议,也是可以自行备案,但是作用不大。最高的等保五级信息系统受到破坏后,会对国家安全造成特别严重损害,这类系统一般都涉及国家秘密,等级保护体系无法担此重任,所以也不会用。现阶段普遍需要第三方测评机构测评的是第二级和第三级。
那二级和三级又是如何确定的呢?
安全保护等级初步确定为第二级及以上的等级保护对象,其运营使用单位应当依据《网络安全等级保护定级指南》进行初步定级、专家评审、主管部门审批、公安机关备案审查,最终确定其安全保护等级。
等级保护对象的级别主要由两个定级要素决定:
(1)受侵害的客体;
(2)对客体的侵害程度。
定级对象的安全主要包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同,因此,安全保护等级也应由业务信息安全(S)和系统服务安全(A)两方面确定,根据业务信息的重要性和受到破坏后的危害性确定业务信息安全等级;根据系统服务的重要性和受到破坏后的危害性确定系统服务安全等级;由业务信息安全等级和系统服务安全等级的较高者确定定级对象的安全保护等级。参考下列表格:
关于系统测评时间,在《信息安全等级保护管理办法》公通字[2007]43号中有明确规定,新建二级信息系统,应在系统投入运行后30日内,在该单位所在的区域网安进行备案,并提交相应的信息系统备案材料。已运营(运行)的二级信息系统,在确定等级后,应在30日内在该单位所在的区域网安进行备案,并提交相应的信息系统备案材料。三级信息系统明确规定每年测评一次,四级信息系统每半年测评一次,五级信息系统虽有要求但在实际工作中几乎很难遇到。
二级、三级等保要求在系统运维管理有什么区别,从环境管理、资产管理、介质管理、设备管理、监控管理、系统安全管理、恶意代码防范管理、网络安全管理、密码管理、备份与恢复管理、安全事件处置和应急预案管理等方面来比较。
二级等保要求及所需设备
三级等保要求及所需设备
作为国家信息安全的基本制度,贯彻落实等级保护2.0是企业义不容辞的信息安全义务。为解决企事业单位等保合规建设难题,葫芦娃集团提供网络安全一站式解决方案,涵盖网站安全、云安全、边界安全、移动安全、数据安全、代码安全、终端安全等全领域安全产品,全方位助力互联网安全建设,加快保护信息安全,保障网络生态环境健康发展。
下面从具体细则与相关管理上来对比二者的区别。
环境管理:
二级等保:
1) 应对机房供配电、空调、温湿度控制等设施指定专人或专门的部门定期进行维护管理;
2) 应配备机房安全管理人员,对机房的出入、服务器的开机或关机等工作进行管理;
3) 应建立机房安全管理制度,对有关机房物理访问,物品带进、带出机房和机房环境安全等方面的管理作出规定;
4) 应对机房来访人员实行登记、备案管理,同时限制来访人员的活动范围;
5) 加强对办公环境的保密性管理,包括如工作人员调离办公室应立即交还该办公室钥匙和不在办公区接待来访人员等。
三级等保:
1) 应对机房供配电、空调、温湿度控制等设施指定专人或专门的部门定期进行维护管理;
2) 应配备机房安全管理人员,对机房的出入、服务器的开机或关机等工作进行管理;
3) 应建立机房安全管理制度,对有关机房物理访问,物品带进、带出机房和机房环境安全等方面的管理作出规定;
4) 加强对办公环境的保密性管理,包括如工作人员调离办公室应立即交还该办公室钥匙和不在办公区接待来访人员等;
5) 应有指定的部门负责机房安全,并配置电子门禁系统,对机房来访人员实行登记记录和电子记录双重备案管理;
6) 应对办公环境的人员行为,如工作人员离开座位应确保终端计算机退出登录状态和桌面上没有包含敏感信息的纸档文件等作出规定。
资产管理:
二级等保:
1) 应建立资产安全管理制度,规定信息系统资产管理的责任人员或责任部门;
2) 应编制并保存与信息系统相关的资产、资产所属关系、安全级别和所处位置等信息的资产清单;
3) 应根据资产的重要程度对资产进行定性赋值和标识管理,根据资产的价值选择相应的管理措施。
三级等保:
1) 应建立资产安全管理制度,规定信息系统资产管理的责任人员或责任部门,并规范资产管理和使用的行为;
2) 应编制并保存与信息系统相关的资产、资产所属关系、安全级别和所处位置等信息的资产清单;
3) 应根据资产的重要程度对资产进行定性赋值和标识管理,根据资产的价值选择相应的管理措施;
4) 应确定信息分类与标识的原则和方法,并对信息的使用、传输和存储作出规定。
介质管理:
二级等保:
1) 应确保介质存放在安全的环境中,并对各类介质进行控制和保护,以防止被盗、被毁、被未授权的修改以及信息的非法泄漏;
2) 应有介质的存储、归档、登记和查询记录,并根据备份及存档介质的目录清单定期盘点;
3) 对于需要送出维修或销毁的介质,应首先清除介质中的敏感数据,防止信息的非法泄漏;
4) 应根据所承载数据和软件的重要程度对介质进行分类和标识管理,并实行存储环境专人管理。
三级等保:
1) 应建立介质安全管理制度,对介质的存放环境、使用、维护和销毁等方面作出规定;
2) 应有介质的归档和查询记录,并对存档介质的目录清单定期盘点;
3) 对于需要送出维修或销毁的介质,应首先清除介质中的敏感数据,防止信息的非法泄漏;
4) 应根据数据备份的需要对某些介质实行异地存储,存储地的环境要求和管理方法应与本地相同;
5) 应根据所承载数据和软件的重要程度对介质进行分类和标识管理,并实行存储环境专人管理;
6) 应对介质的物理传输过程中人员选择、打包、交付等情况进行控制;
7) 应对存储介质的使用过程、送出维修以及销毁进行严格的管理,保密性较高的信息存储介质未经批准不得自行销毁;
8) 必要时应对重要介质的数据和软件采取加密存储,对带出工作环境的存储介质进行内容加密和监控管理;
9) 应对存放在介质库中的介质定期进行完整性和可用性检查,确认其数据或软件没有受到损坏或丢失。
设备管理:
二级等保:
1) 应对信息系统相关的各种设施、设备、线路等指定专人或专门的部门定期进行维护管理;
2) 应对信息系统的各种软硬件设备的选型、采购、发放或领用等过程建立基于申报、审批和专人负责的管理规定;
3) 应对终端计算机、工作站、便携机、系统和网络等设备的操作和使用进行规范化管理;
4) 应对带离机房或办公地点的信息处理设备进行控制;
5) 应按操作规程实现服务器的启动/停止、加电/断电等操作,加强对服务器操作的日志文件管理和监控管理,应按安全策略的要求对网络及设备进行配置,并对其定期进行检查。
三级等保:
1) 应对信息系统相关的各种设备、线路等指定专人或专门的部门定期进行维护管理;
2) 应对信息系统的各种软硬件设备的选型、采购、发放或领用等过程建立基于申报、审批和专人负责的管理规定;
3) 应对终端计算机、工作站、便携机、系统和网络等设备的操作和使用进行规范化管理;
4) 应对带离机房或办公地点的信息处理设备进行控制;
5) 应按操作规程实现服务器的启动/停止、加电/断电等操作,加强对服务器操作的日志文件管理和监控管理,并对其定期进行检查;
6) 应建立配套设施、软硬件维护方面的管理制度,对其维护进行有效的管理,包括明确维护人员的责任、涉外维修和服务的审批、维修过程的监督控制等;
7) 应在安全管理机构统一安全策略下对服务器进行系统配置和服务设定,并实施配置管理。
监控管理:
二级等保:
1) 应了解服务器的CPU、内存、进程、磁盘使用情况。
三级等保:
1) 应进行主机运行监视,包括监视主机的CPU、硬盘、内存、网络等资源的使用情况;
2) 应对分散或集中的安全管理系统的访问授权、操作记录、日志等方面进行有效管理;
3) 应严格管理运行过程文档,其中包括责任书、授权书、许可证、各类策略文档、事故报告处理文档、安全配置文档、系统各类日志等,并确保文档的完整性和一致性。
网络安全管理:
二级等保:
1) 应指定专人对网络进行管理,负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作;
2) 应建立网络安全管理制度,对网络安全配置和日志等方面作出规定;
3) 应根据厂家提供的软件升级版本对网络设备进行更新,并在更新前对现有的重要文件进行备份;
4) 应进行网络系统漏洞扫描,对发现的网络系统安全漏洞进行及时的修补;
5) 应保证所有与外部系统的连接均应得到授权和批准;
6) 应对网络设备的安全策略、授权访问、最小服务、升级与打补丁、维护记录、日志等方面做出具体要求;
7) 应规定网络审计日志的保存时间以便为可能的安全事件调查提供支持。
三级等保:
1) 应指定专人对网络进行管理,负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作;
2) 应根据厂家提供的软件升级版本对网络设备进行更新,并在更新前对现有的重要文件进行备份;
3) 应进行网络系统漏洞扫描,对发现的网络系统安全漏洞进行及时的修补;
4) 应保证所有与外部系统的连接均应得到授权和批准;
5) 应建立网络安全管理制度,对网络安全配置、网络用户以及日志等方面作出规定;
6) 应对网络设备的安全策略、授权访问、最小服务、升级与打补丁、维护记录、日志以及配置文件的生成、备份、变更审批、符合性检查等方面做出具体规定;
7) 应规定网络审计日志的保存时间以便为可能的安全事件调查提供支持;
8) 应明确各类用户的责任、义务和风险,并按照机构制定的审查和批准程序建立用户和分配权限,定期检查用户实际权限与分配权限的符合性;
9) 应对日志的备份、授权访问、处理、保留时间等方面做出具体规定,使用统一的网络时间,以确保日志记录的准确;
10)应通过身份鉴别、访问控制等严格的规定限制远程管理账户的操作权限和登录行为;
11)应定期检查违反规定拨号上网或其他违反网络安全策略的行为。
系统安全管理:
二级等保:
1) 应指定专人对系统进行管理,删除或者禁用不使用的系统缺省账户;
2) 应制度系统安全管理制度,对系统安全配置、系统账户以及审计日志等方面作出规定;
3) 应定期安装系统的最新补丁程序,并根据厂家提供的可能危害计算机的漏洞进行及时修补,并在安装系统补丁前对现有的重要文件进行备份;
4) 应根据业务需求和系统安全分析确定系统的访问控制策略,系统访问控制策略用于控制分配信息系统、文件及服务的访问权限;
5) 应对系统账户进行分类管理,权限设定应当遵循最小授权要求;
6) 应对系统的安全策略、授权访问、最小服务、升级与打补丁、维护记录、日志等方面做出具体要求;
7) 应规定系统审计日志的保存时间以便为可能的安全事件调查提供支持;
8) 应进行系统漏洞扫描,对发现的系统安全漏洞进行及时的修补。
三级等保:
1) 应指定专人对系统进行管理,删除或者禁用不使用的系统缺省账户;
2) 应制定系统安全管理制度,对系统安全配置、系统账户以及审计日志等方面作出规定;
3) 应对能够使用系统工具的人员及数量进行限制和控制;
4) 应定期安装系统的最新补丁程序,并根据厂家提供的可能危害计算机的漏洞进行及时修补,并在安装系统补丁前对现有的重要文件进行备份;
5) 应根据业务需求和系统安全分析确定系统的访问控制策略,系统访问控制策略用于控制分配信息系统、文件及服务的访问权限;
6) 应对系统账户进行分类管理,权限设定应当遵循最小授权要求;
7) 应对系统的安全策略、授权访问、最小服务、升级与打补丁、维护记录、日志以及配置文件的生成、备份、变更审批、符合性检查等方面做出具体规定;
8) 应规定系统审计日志的保存时间以便为可能的安全事件调查提供支持;
9) 应进行系统漏洞扫描,对发现的系统安全漏洞进行及时的修补;
10)应明确各类用户的责任、义务和风险,对系统账户的登记造册、用户名分配、初始口令分配、用户权限及其审批程序、系统资源分配、注销等作出规定;
11)应对于账户安全管理的执行情况进行检查和监督,定期审计和分析用户账户的使用情况,对发现的问题和异常情况进行相关处理。
恶意代码防范管理:
二级等保:
1) 应提高所用用户的防病毒意识,告知及时升级防病毒软件;
2) 应在读取移动存储设备(如软盘、移动硬盘、光盘)上的数据以及网络上接收文件或邮件之前,先进行病毒检查,对外来计算机或存储设备接入网络系统之前也要进行病毒检查;
3) 应指定专人对网络和主机的进行恶意代码检测并保存检测记录;
4) 应对防恶意代码软件的授权使用、恶意代码库升级、定期汇报等作出明确管理规定。
三级等保:
1) 应提高所有用户的防病毒意识,告知及时升级防病毒软件;
2) 应在读取移动存储设备(如软盘、移动硬盘、光盘)上的数据以及网络上接收文件或邮件之前,先进行病毒检查,对外来计算机或存储设备接入网络系统之前也要进行病毒检查;
3) 应指定专人对网络和主机的进行恶意代码检测并保存检测记录;
4) 应对防恶意代码软件的授权使用、恶意代码库升级、定期汇报等作出明确管理规定;
5) 应建立恶意代码集中防护的安全管理中心,确保整个网络统一配置、统一升级、统一控制;
6) 应定期检查信息系统内各种产品的恶意代码库的升级情况并进行记录,对主机防病毒产品、防病毒网关和邮件防病毒网关上截获的危险病毒或恶意代码进行及时分析处理,并形成书面的报表和总结汇报。
密码管理:
二级等保:
1) 密码算法和密钥的使用应符合国家密码管理规定。
三级等保:
1) 应建立密码使用管理制度,密码算法和密钥的使用应符合国家密码管理规定。
变更管理:
二级等保:
1) 确认系统中要发生的变更,并制定变更方案;
2) 建立变更管理制度,重要系统变更前,应向主管领导申请,审批后方可实施变更;
3) 系统变更情况应向所有相关人员通告。
三级等保:
1) 确认系统中要发生的变更,并制定变更方案;
2) 建立变更管理制度,重要系统变更前,应向主管领导申请,变更和变更方案经过评审、审批后方可实施变更;
3) 系统变更情况应向所有相关人员通告;
4) 应建立变更控制的申报和审批文件化程序,变更影响分析应文档化,变更实施过程应记录,所有文档记录应妥善保存;
5) 中止变更并从失败变更中恢复程序应文档化,应明确过程控制方法和人员职责,必要时恢复过程应经过演练。
备份与恢复管理:
二级等保:
1) 应识别需要定期备份的重要业务信息、系统数据及软件系统等;
2) 应规定备份信息的备份方式(如增量备份或全备份等)、备份频度(如每日或每周等)、存储介质、保存期等;
3) 应根据数据的重要性和数据对系统运行的影响,制定数据的备份策略和恢复策略,备份策略应指明备份数据的放置场所、文件命名规则、介质替换频率和将数据离站运输的方法;
4) 应指定相应的负责人定期维护和检查备份及冗余设备的状况,确保需要接入系统时能够正常运行;
5) 根据备份方式,规定相应设备的安装、配置和启动的流程。
三级等保:
1) 应识别需要定期备份的重要业务信息、系统数据及软件系统等;
2) 应规定备份信息的备份方式(如增量备份或全备份等)、备份频度(如每日或每周等)、存储介质、保存期等;
3) 应根据数据的重要性和数据对系统运行的影响,制定数据的备份策略和恢复策略,备份策略应指明备份数据的放置场所、文件命名规则、介质替换频率和将数据离站运输的方法;
4) 应指定相应的负责人定期维护和检查备份及冗余设备的状况,确保需要接入系统时能够正常运行;
5) 应建立控制数据备份和恢复过程的程序,备份过程应记录,所有文件和记录应妥善保存;
6) 应根据系统级备份所采用的方式和产品,建立备份及冗余设备的安装、配置、启动、操作及维护过程控制的程序,记录设备运行过程状况,所有文件和记录应妥善保存;
7) 应定期执行恢复程序,检查和测试备份介质的有效性,确保可以在恢复程序规定的时间内完成备份的恢复。
安全事件处置:
二级等保:
1) 所有用户均有责任报告自己发现的安全弱点和可疑事件,但任何情况下用户均不应尝试验证弱点;
2) 应制定安全事件报告和处置管理制度,规定安全事件的现场处理、事件报告和后期恢复的管理职责;
3) 应分析信息系统的类型、网络连接特点和信息系统用户特点,了解本系统和同类系统已发生的安全事件,识别本系统需要防止发生的安全事件,事件可能来自攻击、错误、故障、事故或灾难;
4) 应根据国家相关管理部门对计算机安全事件等级划分方法,根据安全事件在本系统产生的影响,将本系统计算机安全事件进行等级划分;
5) 应记录并保存所有报告的安全弱点和可疑事件,分析事件原因,监督事态发展,采取措施避免安全事件发生。
三级等保:
1) 所有用户均有责任报告自己发现的安全弱点和可疑事件,但任何情况下用户均不应尝试验证弱点;
2) 应制定安全事件报告和处置管理制度,规定安全事件的现场处理、事件报告和后期恢复的管理职责;
3) 应分析信息系统的类型、网络连接特点和信息系统用户特点,了解本系统和同类系统已发生的安全事件,识别本系统需要防止发生的安全事件,事件可能来自攻击、错误、故障、事故或灾难;
4) 应根据国家相关管理部门对计算机安全事件等级划分方法,根据安全事件在本系统产生的影响,将本系统计算机安全事件进行等级划分;
5) 应制定的安全事件报告和响应处理程序,确定事件的报告流程,响应和处置的范围、程度,以及处理方法等;
6) 应在安全事件报告和响应处理过程中,分析和鉴定事件产生的原因,收集证据,记录处理过程,总结经验教训,制定防止再次发生的补救措施,过程形成的所有文件和记录均应妥善保存;
7) 对造成系统中断和造成信息泄密的安全事件应采用不同的处理程序和报告程序。
应急预案管理:
二级等保:
1) 应在统一的应急预案框架下制定不同事件的应急预案,应急预案框架应包括启动应急预案的条件、应急处理流程、系统恢复流程和事后教育和培训等内容;
2) 应对系统相关的人员进行培训使之了解如何及何时使用应急预案中的控制手段及恢复策略,对应急预案的培训至少每年举办一次。
三级等保:
1) 应在统一的应急预案框架下制定不同事件的应急预案,应急预案框架应包括启动应急预案的条件、应急处理流程、系统恢复流程和事后教育和培训等内容;
2) 应从人力、设备、技术和财务等方面确保应急预案的执行有足够的资源保障;
3) 应对系统相关的人员进行培训使之了解如何及何时使用应急预案中的控制手段及恢复策略,对应急预案的培训至少每年举办一次;
4) 应急预案应定期演练,根据不同的应急恢复内容,确定演练的周期;
5) 应规定应急预案需要定期审查和根据实际情况更新内容,并按照执行。
附件:国家标准的等级保护定级指南(pdf)
GBT22240-2008信息系统安全等级保护定级指南
GBT25058-2010信息安全技术信息系统安全等级保护实施指南
GBT22239-2019信息安全技术网络安全等级保护基本要求
GBT35273-2020信息安全技术个人信息安全规范
等保测评
1.必要性:《中华人民共和国网络安全法》明确规定,网络运营者应当按照网络安全等级保护制度的要求,履行相关的安全保护义务。等保测评是网络安全等级保护制度的重要组成部分,通过测评可以全面评估信息系统的安全状况,发现潜在的安全隐患和漏洞,从而为企业制定针对性的安全防护策略提供重要依据。不履行网络安全保护义务的网络运营者,将受到有关主管部门的责令整改、处以罚款、警告等惩罚措施。
2.流程:
系统定级:编写定级报告,填写定级备案表。
系统备案:将定级材料提交至公安机关进行备案审核。
整改实施:对系统进行调研,开展差距评估,完成相应设备采购及调整、策略配置调试、完善管理制度等工作。
系统测评:请当地测评机构对系统进行全方面测评,测评评分合格后获得合格测评报告,并最终获得等级保护备案证。
运维检查:系统持续运维与优化,并按照相关要求进行年检。
影响:未履行等保测评的处罚主要依据《网络安全法》及相关法规进行。以下是对未履行等保测评可能面临的处罚的详细解释:
一、责令改正与警告
对于未履行等保测评的网络运营者,有关主管部门将首先责令其改正,即要求其按照网络安全等级保护制度的要求,进行相应的等级保护测评。同时,还会对网络运营者给予警告,提醒其重视网络安全等级保护制度的重要性。
二、罚款
如果网络运营者拒不改正或者导致危害网络安全等后果,有关主管部门将对其处以罚款。根据《网络安全法》第五十九条的规定,罚款的金额范围如下:
一般网络运营者:处一万元以上十万元以下罚款。
关键信息基础设施的运营者:处十万元以上一百万元以下罚款。
同时,对直接负责的主管人员和其他直接责任人员,也将处以罚款,金额范围如下:
一般网络运营者的直接责任人员:处五千元以上五万元以下罚款。
关键信息基础设施运营者的直接责任人员:处一万元以上十万元以下罚款。
三、其他可能的后果
除了上述的法律处罚外,未履行等保测评还可能带来以下后果:
安全风险增加
系统潜在的安全隐患和新出现的威胁可能得不到及时发现和修复,增加了信息泄露、数据被篡改、系统瘫痪等安全事件发生的概率。
企业声誉受损
对于依赖信息安全认证开展业务的金融、政务、医疗等行业,未履行等保测评义务可能损害企业信誉,影响客户信任,甚至导致业务合作中断。
理赔与经济风险
一些保险公司要求被保险人在发生网络安全事件时,必须维持等保测评的有效状态。若因未进行测评而影响理赔,将增加企业的经济损失。
密评
1.必要性:密评(商用密码应用安全性评估)是确保信息系统在使用商用密码进行保护时能够达到合规、正确和有效要求的重要手段。通过密评,可以及时发现密码应用过程中存在的问题,规范密码的使用和管理,从而切实保障国家网络和信息安全。相关法律法规也明确规定了关键信息基础设施的运营者必须按照要求使用商用密码,并开展商用密码应用安全性评估。
2.流程:
编制密码应用方案(改造方案):责任单位根据信息系统需求编制密码应用方案。
方案评估:委托密评机构对密码应用方案进行评估。
建设整改:责任单位按照通过评估的密码应用方案进行相应建设,并委托密评机构开展系统评估。
系统评估:密评机构对信息系统进行密码应用安全性评估,并出具评估报告。
备案:将评估报告报送至密码管理部门进行备案。
3.影响:未履行密评的处罚主要依据《密码法》及相关法规进行。以下是关于未履行密评可能面临的处罚的详细解释:
一、法律处罚
1).责令改正与警告
若违反《密码法》规定,未按照要求使用商用密码或未开展商用密码应用安全性评估,由密码管理部门责令改正并给予警告。
2).罚款
对于拒不改正或导致危害网络安全等后果的,将处以十万元以上一百万元以下的罚款。
对直接负责的主管人员,则处以一万元以上十万元以下的罚款。
二、项目管理与资金安排影响
1).项目整改与通报批评
若国家政务信息化项目在密码应用、网络安全等方面违反国家有关规定或批复要求,项目审批部门将要求项目建设单位限期整改。
逾期不整改或整改后仍不符合要求的,将对其进行通报批评。
2).资金与投资计划影响
对于不符合密码应用和网络安全要求,或存在重大安全隐患的政务信息系统,将不安排运行维护经费。
项目建设单位也不得新建、改建、扩建政务信息系统。
对于整改后仍不符合要求的政务信息系统建设项目,项目审批部门可以暂缓安排投资计划、暂停项目建设,直至终止项目。
三、单位声誉与业务合作影响
未履行密评或测试结果不合格可能导致单位在公众心目中的信任度下降,进而影响单位的声誉和业务合作。对于直接负责的主管人员,若因未按照要求开展密评或导致测试结果不合格而受到处罚,可能会对其职业发展产生负面影响。
等保测评和密评都是确保信息系统安全的重要手段,必须按照相关法律法规的要求进行。不做等保测评和密评将带来严重的安全风险,并可能受到法律制裁。因此,网络运营者应高度重视等保测评和密评工作,确保信息系统的安全稳定运行。下面就简单展开来介绍等保测评的相关过程。
在网络安全等级保护2.0国家标准(等保2.0)中,信息安全等级保护分为五级,分别是第一级(自主保护级)、第二级(指导保护级)、第三级(监督保护级)、第四级(强制保护级)和第五级(专控保护级),一至五级等级逐级增高。
虽然等保分为五个级别,但实现项目落地的都是二、三和四级,最低的一级单位作为建议,也是可以自行备案,但是作用不大。最高的等保五级信息系统受到破坏后,会对国家安全造成特别严重损害,这类系统一般都涉及国家秘密,等级保护体系无法担此重任,所以也不会用。现阶段普遍需要第三方测评机构测评的是第二级和第三级。
那二级和三级又是如何确定的呢?
安全保护等级初步确定为第二级及以上的等级保护对象,其运营使用单位应当依据《网络安全等级保护定级指南》进行初步定级、专家评审、主管部门审批、公安机关备案审查,最终确定其安全保护等级。
等级保护对象的级别主要由两个定级要素决定:
(1)受侵害的客体;
(2)对客体的侵害程度。
定级对象的安全主要包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同,因此,安全保护等级也应由业务信息安全(S)和系统服务安全(A)两方面确定,根据业务信息的重要性和受到破坏后的危害性确定业务信息安全等级;根据系统服务的重要性和受到破坏后的危害性确定系统服务安全等级;由业务信息安全等级和系统服务安全等级的较高者确定定级对象的安全保护等级。参考下列表格:
关于系统测评时间,在《信息安全等级保护管理办法》公通字[2007]43号中有明确规定,新建二级信息系统,应在系统投入运行后30日内,在该单位所在的区域网安进行备案,并提交相应的信息系统备案材料。已运营(运行)的二级信息系统,在确定等级后,应在30日内在该单位所在的区域网安进行备案,并提交相应的信息系统备案材料。三级信息系统明确规定每年测评一次,四级信息系统每半年测评一次,五级信息系统虽有要求但在实际工作中几乎很难遇到。
二级、三级等保要求在系统运维管理有什么区别,从环境管理、资产管理、介质管理、设备管理、监控管理、系统安全管理、恶意代码防范管理、网络安全管理、密码管理、备份与恢复管理、安全事件处置和应急预案管理等方面来比较。
二级等保要求及所需设备
三级等保要求及所需设备
作为国家信息安全的基本制度,贯彻落实等级保护2.0是企业义不容辞的信息安全义务。为解决企事业单位等保合规建设难题,葫芦娃集团提供网络安全一站式解决方案,涵盖网站安全、云安全、边界安全、移动安全、数据安全、代码安全、终端安全等全领域安全产品,全方位助力互联网安全建设,加快保护信息安全,保障网络生态环境健康发展。
下面从具体细则与相关管理上来对比二者的区别。
环境管理:
二级等保:
1) 应对机房供配电、空调、温湿度控制等设施指定专人或专门的部门定期进行维护管理;
2) 应配备机房安全管理人员,对机房的出入、服务器的开机或关机等工作进行管理;
3) 应建立机房安全管理制度,对有关机房物理访问,物品带进、带出机房和机房环境安全等方面的管理作出规定;
4) 应对机房来访人员实行登记、备案管理,同时限制来访人员的活动范围;
5) 加强对办公环境的保密性管理,包括如工作人员调离办公室应立即交还该办公室钥匙和不在办公区接待来访人员等。
三级等保:
1) 应对机房供配电、空调、温湿度控制等设施指定专人或专门的部门定期进行维护管理;
2) 应配备机房安全管理人员,对机房的出入、服务器的开机或关机等工作进行管理;
3) 应建立机房安全管理制度,对有关机房物理访问,物品带进、带出机房和机房环境安全等方面的管理作出规定;
4) 加强对办公环境的保密性管理,包括如工作人员调离办公室应立即交还该办公室钥匙和不在办公区接待来访人员等;
5) 应有指定的部门负责机房安全,并配置电子门禁系统,对机房来访人员实行登记记录和电子记录双重备案管理;
6) 应对办公环境的人员行为,如工作人员离开座位应确保终端计算机退出登录状态和桌面上没有包含敏感信息的纸档文件等作出规定。
资产管理:
二级等保:
1) 应建立资产安全管理制度,规定信息系统资产管理的责任人员或责任部门;
2) 应编制并保存与信息系统相关的资产、资产所属关系、安全级别和所处位置等信息的资产清单;
3) 应根据资产的重要程度对资产进行定性赋值和标识管理,根据资产的价值选择相应的管理措施。
三级等保:
1) 应建立资产安全管理制度,规定信息系统资产管理的责任人员或责任部门,并规范资产管理和使用的行为;
2) 应编制并保存与信息系统相关的资产、资产所属关系、安全级别和所处位置等信息的资产清单;
3) 应根据资产的重要程度对资产进行定性赋值和标识管理,根据资产的价值选择相应的管理措施;
4) 应确定信息分类与标识的原则和方法,并对信息的使用、传输和存储作出规定。
介质管理:
二级等保:
1) 应确保介质存放在安全的环境中,并对各类介质进行控制和保护,以防止被盗、被毁、被未授权的修改以及信息的非法泄漏;
2) 应有介质的存储、归档、登记和查询记录,并根据备份及存档介质的目录清单定期盘点;
3) 对于需要送出维修或销毁的介质,应首先清除介质中的敏感数据,防止信息的非法泄漏;
4) 应根据所承载数据和软件的重要程度对介质进行分类和标识管理,并实行存储环境专人管理。
三级等保:
1) 应建立介质安全管理制度,对介质的存放环境、使用、维护和销毁等方面作出规定;
2) 应有介质的归档和查询记录,并对存档介质的目录清单定期盘点;
3) 对于需要送出维修或销毁的介质,应首先清除介质中的敏感数据,防止信息的非法泄漏;
4) 应根据数据备份的需要对某些介质实行异地存储,存储地的环境要求和管理方法应与本地相同;
5) 应根据所承载数据和软件的重要程度对介质进行分类和标识管理,并实行存储环境专人管理;
6) 应对介质的物理传输过程中人员选择、打包、交付等情况进行控制;
7) 应对存储介质的使用过程、送出维修以及销毁进行严格的管理,保密性较高的信息存储介质未经批准不得自行销毁;
8) 必要时应对重要介质的数据和软件采取加密存储,对带出工作环境的存储介质进行内容加密和监控管理;
9) 应对存放在介质库中的介质定期进行完整性和可用性检查,确认其数据或软件没有受到损坏或丢失。
设备管理:
二级等保:
1) 应对信息系统相关的各种设施、设备、线路等指定专人或专门的部门定期进行维护管理;
2) 应对信息系统的各种软硬件设备的选型、采购、发放或领用等过程建立基于申报、审批和专人负责的管理规定;
3) 应对终端计算机、工作站、便携机、系统和网络等设备的操作和使用进行规范化管理;
4) 应对带离机房或办公地点的信息处理设备进行控制;
5) 应按操作规程实现服务器的启动/停止、加电/断电等操作,加强对服务器操作的日志文件管理和监控管理,应按安全策略的要求对网络及设备进行配置,并对其定期进行检查。
三级等保:
1) 应对信息系统相关的各种设备、线路等指定专人或专门的部门定期进行维护管理;
2) 应对信息系统的各种软硬件设备的选型、采购、发放或领用等过程建立基于申报、审批和专人负责的管理规定;
3) 应对终端计算机、工作站、便携机、系统和网络等设备的操作和使用进行规范化管理;
4) 应对带离机房或办公地点的信息处理设备进行控制;
5) 应按操作规程实现服务器的启动/停止、加电/断电等操作,加强对服务器操作的日志文件管理和监控管理,并对其定期进行检查;
6) 应建立配套设施、软硬件维护方面的管理制度,对其维护进行有效的管理,包括明确维护人员的责任、涉外维修和服务的审批、维修过程的监督控制等;
7) 应在安全管理机构统一安全策略下对服务器进行系统配置和服务设定,并实施配置管理。
监控管理:
二级等保:
1) 应了解服务器的CPU、内存、进程、磁盘使用情况。
三级等保:
1) 应进行主机运行监视,包括监视主机的CPU、硬盘、内存、网络等资源的使用情况;
2) 应对分散或集中的安全管理系统的访问授权、操作记录、日志等方面进行有效管理;
3) 应严格管理运行过程文档,其中包括责任书、授权书、许可证、各类策略文档、事故报告处理文档、安全配置文档、系统各类日志等,并确保文档的完整性和一致性。
网络安全管理:
二级等保:
1) 应指定专人对网络进行管理,负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作;
2) 应建立网络安全管理制度,对网络安全配置和日志等方面作出规定;
3) 应根据厂家提供的软件升级版本对网络设备进行更新,并在更新前对现有的重要文件进行备份;
4) 应进行网络系统漏洞扫描,对发现的网络系统安全漏洞进行及时的修补;
5) 应保证所有与外部系统的连接均应得到授权和批准;
6) 应对网络设备的安全策略、授权访问、最小服务、升级与打补丁、维护记录、日志等方面做出具体要求;
7) 应规定网络审计日志的保存时间以便为可能的安全事件调查提供支持。
三级等保:
1) 应指定专人对网络进行管理,负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作;
2) 应根据厂家提供的软件升级版本对网络设备进行更新,并在更新前对现有的重要文件进行备份;
3) 应进行网络系统漏洞扫描,对发现的网络系统安全漏洞进行及时的修补;
4) 应保证所有与外部系统的连接均应得到授权和批准;
5) 应建立网络安全管理制度,对网络安全配置、网络用户以及日志等方面作出规定;
6) 应对网络设备的安全策略、授权访问、最小服务、升级与打补丁、维护记录、日志以及配置文件的生成、备份、变更审批、符合性检查等方面做出具体规定;
7) 应规定网络审计日志的保存时间以便为可能的安全事件调查提供支持;
8) 应明确各类用户的责任、义务和风险,并按照机构制定的审查和批准程序建立用户和分配权限,定期检查用户实际权限与分配权限的符合性;
9) 应对日志的备份、授权访问、处理、保留时间等方面做出具体规定,使用统一的网络时间,以确保日志记录的准确;
10)应通过身份鉴别、访问控制等严格的规定限制远程管理账户的操作权限和登录行为;
11)应定期检查违反规定拨号上网或其他违反网络安全策略的行为。
系统安全管理:
二级等保:
1) 应指定专人对系统进行管理,删除或者禁用不使用的系统缺省账户;
2) 应制度系统安全管理制度,对系统安全配置、系统账户以及审计日志等方面作出规定;
3) 应定期安装系统的最新补丁程序,并根据厂家提供的可能危害计算机的漏洞进行及时修补,并在安装系统补丁前对现有的重要文件进行备份;
4) 应根据业务需求和系统安全分析确定系统的访问控制策略,系统访问控制策略用于控制分配信息系统、文件及服务的访问权限;
5) 应对系统账户进行分类管理,权限设定应当遵循最小授权要求;
6) 应对系统的安全策略、授权访问、最小服务、升级与打补丁、维护记录、日志等方面做出具体要求;
7) 应规定系统审计日志的保存时间以便为可能的安全事件调查提供支持;
8) 应进行系统漏洞扫描,对发现的系统安全漏洞进行及时的修补。
三级等保:
1) 应指定专人对系统进行管理,删除或者禁用不使用的系统缺省账户;
2) 应制定系统安全管理制度,对系统安全配置、系统账户以及审计日志等方面作出规定;
3) 应对能够使用系统工具的人员及数量进行限制和控制;
4) 应定期安装系统的最新补丁程序,并根据厂家提供的可能危害计算机的漏洞进行及时修补,并在安装系统补丁前对现有的重要文件进行备份;
5) 应根据业务需求和系统安全分析确定系统的访问控制策略,系统访问控制策略用于控制分配信息系统、文件及服务的访问权限;
6) 应对系统账户进行分类管理,权限设定应当遵循最小授权要求;
7) 应对系统的安全策略、授权访问、最小服务、升级与打补丁、维护记录、日志以及配置文件的生成、备份、变更审批、符合性检查等方面做出具体规定;
8) 应规定系统审计日志的保存时间以便为可能的安全事件调查提供支持;
9) 应进行系统漏洞扫描,对发现的系统安全漏洞进行及时的修补;
10)应明确各类用户的责任、义务和风险,对系统账户的登记造册、用户名分配、初始口令分配、用户权限及其审批程序、系统资源分配、注销等作出规定;
11)应对于账户安全管理的执行情况进行检查和监督,定期审计和分析用户账户的使用情况,对发现的问题和异常情况进行相关处理。
恶意代码防范管理:
二级等保:
1) 应提高所用用户的防病毒意识,告知及时升级防病毒软件;
2) 应在读取移动存储设备(如软盘、移动硬盘、光盘)上的数据以及网络上接收文件或邮件之前,先进行病毒检查,对外来计算机或存储设备接入网络系统之前也要进行病毒检查;
3) 应指定专人对网络和主机的进行恶意代码检测并保存检测记录;
4) 应对防恶意代码软件的授权使用、恶意代码库升级、定期汇报等作出明确管理规定。
三级等保:
1) 应提高所有用户的防病毒意识,告知及时升级防病毒软件;
2) 应在读取移动存储设备(如软盘、移动硬盘、光盘)上的数据以及网络上接收文件或邮件之前,先进行病毒检查,对外来计算机或存储设备接入网络系统之前也要进行病毒检查;
3) 应指定专人对网络和主机的进行恶意代码检测并保存检测记录;
4) 应对防恶意代码软件的授权使用、恶意代码库升级、定期汇报等作出明确管理规定;
5) 应建立恶意代码集中防护的安全管理中心,确保整个网络统一配置、统一升级、统一控制;
6) 应定期检查信息系统内各种产品的恶意代码库的升级情况并进行记录,对主机防病毒产品、防病毒网关和邮件防病毒网关上截获的危险病毒或恶意代码进行及时分析处理,并形成书面的报表和总结汇报。
密码管理:
二级等保:
1) 密码算法和密钥的使用应符合国家密码管理规定。
三级等保:
1) 应建立密码使用管理制度,密码算法和密钥的使用应符合国家密码管理规定。
变更管理:
二级等保:
1) 确认系统中要发生的变更,并制定变更方案;
2) 建立变更管理制度,重要系统变更前,应向主管领导申请,审批后方可实施变更;
3) 系统变更情况应向所有相关人员通告。
三级等保:
1) 确认系统中要发生的变更,并制定变更方案;
2) 建立变更管理制度,重要系统变更前,应向主管领导申请,变更和变更方案经过评审、审批后方可实施变更;
3) 系统变更情况应向所有相关人员通告;
4) 应建立变更控制的申报和审批文件化程序,变更影响分析应文档化,变更实施过程应记录,所有文档记录应妥善保存;
5) 中止变更并从失败变更中恢复程序应文档化,应明确过程控制方法和人员职责,必要时恢复过程应经过演练。
备份与恢复管理:
二级等保:
1) 应识别需要定期备份的重要业务信息、系统数据及软件系统等;
2) 应规定备份信息的备份方式(如增量备份或全备份等)、备份频度(如每日或每周等)、存储介质、保存期等;
3) 应根据数据的重要性和数据对系统运行的影响,制定数据的备份策略和恢复策略,备份策略应指明备份数据的放置场所、文件命名规则、介质替换频率和将数据离站运输的方法;
4) 应指定相应的负责人定期维护和检查备份及冗余设备的状况,确保需要接入系统时能够正常运行;
5) 根据备份方式,规定相应设备的安装、配置和启动的流程。
三级等保:
1) 应识别需要定期备份的重要业务信息、系统数据及软件系统等;
2) 应规定备份信息的备份方式(如增量备份或全备份等)、备份频度(如每日或每周等)、存储介质、保存期等;
3) 应根据数据的重要性和数据对系统运行的影响,制定数据的备份策略和恢复策略,备份策略应指明备份数据的放置场所、文件命名规则、介质替换频率和将数据离站运输的方法;
4) 应指定相应的负责人定期维护和检查备份及冗余设备的状况,确保需要接入系统时能够正常运行;
5) 应建立控制数据备份和恢复过程的程序,备份过程应记录,所有文件和记录应妥善保存;
6) 应根据系统级备份所采用的方式和产品,建立备份及冗余设备的安装、配置、启动、操作及维护过程控制的程序,记录设备运行过程状况,所有文件和记录应妥善保存;
7) 应定期执行恢复程序,检查和测试备份介质的有效性,确保可以在恢复程序规定的时间内完成备份的恢复。
安全事件处置:
二级等保:
1) 所有用户均有责任报告自己发现的安全弱点和可疑事件,但任何情况下用户均不应尝试验证弱点;
2) 应制定安全事件报告和处置管理制度,规定安全事件的现场处理、事件报告和后期恢复的管理职责;
3) 应分析信息系统的类型、网络连接特点和信息系统用户特点,了解本系统和同类系统已发生的安全事件,识别本系统需要防止发生的安全事件,事件可能来自攻击、错误、故障、事故或灾难;
4) 应根据国家相关管理部门对计算机安全事件等级划分方法,根据安全事件在本系统产生的影响,将本系统计算机安全事件进行等级划分;
5) 应记录并保存所有报告的安全弱点和可疑事件,分析事件原因,监督事态发展,采取措施避免安全事件发生。
三级等保:
1) 所有用户均有责任报告自己发现的安全弱点和可疑事件,但任何情况下用户均不应尝试验证弱点;
2) 应制定安全事件报告和处置管理制度,规定安全事件的现场处理、事件报告和后期恢复的管理职责;
3) 应分析信息系统的类型、网络连接特点和信息系统用户特点,了解本系统和同类系统已发生的安全事件,识别本系统需要防止发生的安全事件,事件可能来自攻击、错误、故障、事故或灾难;
4) 应根据国家相关管理部门对计算机安全事件等级划分方法,根据安全事件在本系统产生的影响,将本系统计算机安全事件进行等级划分;
5) 应制定的安全事件报告和响应处理程序,确定事件的报告流程,响应和处置的范围、程度,以及处理方法等;
6) 应在安全事件报告和响应处理过程中,分析和鉴定事件产生的原因,收集证据,记录处理过程,总结经验教训,制定防止再次发生的补救措施,过程形成的所有文件和记录均应妥善保存;
7) 对造成系统中断和造成信息泄密的安全事件应采用不同的处理程序和报告程序。
应急预案管理:
二级等保:
1) 应在统一的应急预案框架下制定不同事件的应急预案,应急预案框架应包括启动应急预案的条件、应急处理流程、系统恢复流程和事后教育和培训等内容;
2) 应对系统相关的人员进行培训使之了解如何及何时使用应急预案中的控制手段及恢复策略,对应急预案的培训至少每年举办一次。
三级等保:
1) 应在统一的应急预案框架下制定不同事件的应急预案,应急预案框架应包括启动应急预案的条件、应急处理流程、系统恢复流程和事后教育和培训等内容;
2) 应从人力、设备、技术和财务等方面确保应急预案的执行有足够的资源保障;
3) 应对系统相关的人员进行培训使之了解如何及何时使用应急预案中的控制手段及恢复策略,对应急预案的培训至少每年举办一次;
4) 应急预案应定期演练,根据不同的应急恢复内容,确定演练的周期;
5) 应规定应急预案需要定期审查和根据实际情况更新内容,并按照执行。
附件:国家标准的等级保护定级指南(pdf)
GBT22240-2008信息系统安全等级保护定级指南
GBT25058-2010信息安全技术信息系统安全等级保护实施指南
GBT22239-2019信息安全技术网络安全等级保护基本要求
GBT35273-2020信息安全技术个人信息安全规范