各位伙伴好:
招投标总结已过去一年了,时间飞逝,一直忙于工作,等保相关的内容断断续续整理了近半年的时间,但一直无暇完成博客内容。
等保已经是一个成熟的体系,现在已进入等保2.0时代,相关政策已运行多年,从1994年《中华人民共和国计算机信息系统安全保护条例》就已经有了等保相关的要求。
博主从事网络和数据安全行业快十年了,也接触过很多等保相关的项目,整理等保内容起因,是因为在一次面试中被问到等保相关知识,除了“一个中心三重防护”中安全通信网络、安全区域边界、安全计算中心需要上什么安全设备,其实其他大相关内容了解甚少。
对于一个从事这么多年的行业,相关的标准了解不是很清晰,很是惭愧,所以开始了等保相关内容的整理。
下面简单说一下,等保内容整体框架:
第一章:等保前期发文内容整理,第一章中有大部分内容已经不再使用了,只作为只作为等保建设过程的参考资料,了解前因后果。
-
- 《中华人民共和国计算机信息系统安全保护条例》-1994年2月18日发布(共五章三十一条)【现行】
- 公通字[2004]66 号《关于信息安全等级保护工作的实施意见》-公安部办公厅 2004 年 9 月 17 日印发【废止】
- 公通字[2007]43 号《信息安全等级保护管理办法》-公安部办公厅2007年6月26 日印发【现行】
- 公信安[2007]861 号《关于开展全国重要信息系统安全等级保护定级工作的通知》-2007年7月16日发布【废止】
- 公信安[2009]1429号《关于开展信息安全等级保护安全建设整改工作的指导意见》-2009年10月27日发布【废止】
- 公信安[2010]303号 《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》-2010年3月12日发布【废止】
第二章:现行等保标准要求,通过表格方式详细拆分了等保的相关要求。
-
- GB 17859-1999 计算机信息系统 安全保护等级划分准则【现行】
- GB/T22240-2020 《信息安全技术 网络安全等级保护定级指南》【现行】
- GB/T 22239-2019 《信息安全技术 网络安全等级保护基础要求》【现行】
- GB/T 25058-2019 《信息安全技术 网络安全等级保护实施指南》【现行】
- GB/T 25070-2019 《 信息安全技术 网络安全等级保护安全设计技术要求》【现行】
- GB/T 36958-2018 《信息安全技术 网络安全等级保护安全管理中心技术要求》【现行】
第三章:测评要求、测评机构要求,最终目的是通过测评,所以我们将等保要求和测评相关要求一一对应形成表格。
-
- GB/T 28448-2019 《信息安全技术 网络安全等级保护测评要求》【现行】
- GB/T 28449-2018 《信息安全技术 网络安全等级保护测评过程指南》【现行】
- GB/T 36627-2018 《信息安全技术 网络安全等级保护测试评估技术指南》【现行】
- GB/T 36959-2018 《信息安全技术 网络安全等级保护测评机构能力要求和评估规范》【现行】
上述所有的政策文件会逐步放到下载链接中。可在后续具体章节中查看。