本文目录一览:
网络安全:5.等保测评
1.等保1.0和2.0备案比较
2.云安全要求
3.云测评要求
①责任主体一分为二:云服务商、云服务客户均需独立定级备案、过等保测评;
②国家关键信息基础设施(重要云计算平台)的安全保护等级应不低于第三级;
③云平台其承载或将要承载的等级保护对象的重要程度确定其安全保护等级,原则上应不低于其承载的等级保护对象的安全保护等级;
④对于大型云计算平台,应将云计算基础设施和有关辅助服务系统划分为不同的定级对象
4.大数据测评要求
①组件(大数据、大数据应用、大数据平台、基础设施)单独或组合可以构成定级对象,当涉及不同责任主体时,应当分别定级 ;当安全责任主体相同,大数据、大数据平台和应用可作为一个整体对象定级。
②如果大数据基础设施、大数据平台、大数据应用为不同的定级对象,下层定级对象的安全保护等级应不低于其承载的上层定级对象的等级。
③测评关注业务数据生命周期流程及相关控制措施,关注个人敏感信息、出境数据、溯源数据。
5.物联网测评要求
①测评以感知节点设备、网关节点设备(包括读卡器)、传感网、入网访问控制设备等为主。
②重点在于对物联网系统安全技术方面的测评,尤其需要加强测试验证的技术测评手段。
③测试工具除了传统系统测评的工具外,还需采用感知层产品安全评估的专用工具。
6.工控测评要求
①高度关注可用性,工业控制系统中的一些装置如果实现特定类型的安全措施可能会终止其连续运行,原则上安全措施不应对高可用性的工业控制系统基本功能产生不利影响。
②安全措施的部署不应显著增加延迟而影响系统响应时间;对于高可用性的控制系统,安全措施失效不应中断基本功能。
③经评估对可用性有较大影响而无法实施和落实安全等级保护要求的相关条款时,应进行安全声明,分析和说明此条款实施可能产生的影响和后果,以及使用的补偿措施。
7互联测评要求
①采用移动互联技术的等级保护对象其移动互联部分由移动终端、移动应用和无线网络三部分组成;采用移动互联技术的等级保护对象应作为一个整体对象定级,移动终端、移动应用和无线网络等要素不单独定级。
②移动互联安全扩展要求主要针对移动终端、移动应用和无线网络部分提出特殊安全要求,与安全通用要求一起构成对采用移动互联技术的等级保护对象的完整安全要求,测评时需要和移动平台应用系统结合完成等级测评。