等级保护安全方案白昆忠JohnnyBai 为什么要做等保？-法律要求 等级保护安全方案 2017年6⽉1⽇《⺴络安全法》正式实施。关于等保的条款有第⼆⼗⼀条，三⼗⼋条，五⼗九条等。不履⾏该法由主管部⻔责令改正，拒不改正或者导致危害⺴络安全等后果的，处⼗万元以上⼀百万元以下罚款，对直接负责的主管⼈员处⼀万元以上⼗万元以下罚款2018年4⽉20⽇⾄21⽇，全国⺴络安全和信息化⼯作会议在北京召开，习近平总书记发表重要讲话。“没有网络安全就没有国家安全”等级保护是国家的法律规定和要求 党和政府⾼度关注 哪些单位必须通过等保？ 等级保护安全方案 政府机关：各大部委、各省级政府机关、各地市级政府机关、各事业单位等； 金融行业：金融监管机构、各大银行、证券、保险公司等； 电信行业：各大电信运营商、各省电信公司、各地市电信公司、各类电信服务商等； 能源行业：电力公司、石油公司、烟草公司； 企业单位：大中型企业、央企、上市公司等； 其它有信息系统定级需求的行业与单位。特别被要求做等保的行业 等级保护安全方案 政府 云计算 金融行业 电力行业 大数据行业 电子政务行业 工控行业 卫生行业 广电行业 水利行业 税务行业 通信行业 证券行业 教育行业 司法鉴定行业 能源行业 民航行业 商密行业 交通运输行业 国土资源行业 没被强制要求单位的需要做等保吗？ 等级保护安全方案 1、通过等级保护工作发现单位信息系统存在的安全隐患和不足，进行安全整改之后，提高信息系统的信息安全防护能力，降低系统被各种攻击的风险，维护单位较高安全、较低风险。 2、等级保护是我国关于信息安全的基本政策，国家法律法规、相关政策制度要求单位开展等级保护工作。如《网络安全等级保护管理办法》和《中华人民共和国网络安全法》。 3、很多行业主管单位要求行业客户开展等级保护工作，目前已经下发行业要求文件的有：金融、电力、广电、医疗、教育等行业等。 4、落实个人及单位的网络安全保护义务，合理规避风险。 未来所有企业都将逐步被要求通过等保通过等保备案的好处 等级保护安全方案 满足国家相关法律法规和制度的要求降低信息安全风险 合法规避或降低风险满足相关主管单位和行业要求 •加强企业信息系统安全防护•满⾜合法合规性要求•为拟上市企业IPO审计加分•帮助企业顺利通过ICP更新年检•为企业IT安全员提供KPI指标 等级保护分级说明 等级保护安全方案 分级\分类⼈员威胁⾃然威胁损害对象恢复能⼒发现能⼒第⼀级个⼈⼀般⾃然灾害关键资源部分恢复⽆第⼆级⼩型组织⼀般⾃然灾害重要资源⼀段时间内部分恢复能够发现安全漏洞和安全事件第三级外部组织或内部⼈员较为严重灾害主要资源较快恢复绝⼤部分能够发现安全漏洞和安全事件第四级国家级别严重灾害所有资源迅速恢复所有能够发现安全漏洞和安全事件 个人 国家怎么开始做等级保护？ 等级保护安全方案 项目立项启动 找一家等保咨询顾问 定义等保需要的范围 进行访谈定级确认 公安局填写定级表格 送审批定级备案申请 进行访谈差距评估 进行技术验证差距分析 拿到等保备案号 等级保护初测开始 分析初测差距报告 整理规范制度清单 规划技术整改方案 进行方案PoC验证 选定方案进行采购 部署实施解决方案 内部验证整改结果 提交等保复测验证 通过等保复测结果 领取等保备案证明