2025等保合规性测试用例与修复方案.pptx

12024年11月22日等保合规性测试用例与修复方案

背景介绍总结与建议测试用例与修复方案等保实施与测评要求解录目录2

信息安全现状法律法规行业要求背景介绍-信息安全现状3

计算机病毒产生全球出现首例计算机病毒4攻击手段演变篡改、伪造、拒绝服务、恶意软件、安全漏洞最初的攻击手段计算机病毒、破解口令和利用操作系统已知漏洞当今安全事件类型数据泄露、网络攻击、网络犯罪20世纪80s20世纪90s21世纪近几年背景介绍-信息安全现状

信息安全现状法律法规行业要求背景介绍-法律法规5

法律法规6网络安全法个人信息保护法/民法典背景介绍-法律法规※网络安全等级保护制度关键信息基础设施保护条例数据安全法数据分类分级保护制度个人信息保护制度

0170205国家实行网络安全等级保护制度网络安全法：网络安全等级保护制度0304制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任防范计算机病毒和网络攻击、网络侵入监测、记录网络运行状态、网络安全事件数据分类、重要数据备份和加密等措施法律、行政法规规定的其他义务背景介绍-法律法规(续1)制度防范审计数据其他

058010208关键信息基础设施安全保护条例专门安全管理机构具体负责本单位的关键信息基础设施安全保护工作03建立健全网络安全管理、评价考核制度，拟订关键信息基础设施安全保护计划组织推动网络安全防护能力建设，开展网络安全监测、检测和风险评估组织网络安全教育、培训按照规定报告网络安全事件和重要事项背景介绍-法律法规（续2）制度防范预案培训04按照国家及行业网络安全事件应急预案，制定本单位应急预案，定期开展应急演练，处置网络安全事件认定网络安全关键岗位，组织开展网络安全工作考核，提出奖励和惩处建议考核06履行个人信息和数据安全保护责任，建立健全个人信息和数据安全保护制度07对关键信息基础设施设计、建设、运行、维护等服务实施安全管理责任报告环节

9背景介绍-法律法规（续3）等保范围适用于所有网络运营者：自主定级，自主保护等保等级分为五级，十个通用要求及四个拓展要求，三级及以上系统必须进行渗透测试级别认定初步定级-专家评审-行业主管(监管)部门核准-结果提交公安机关备案审核。关保范围被认定关键信息基础设施的运营者：重点保护,监管保护关保等级包括等级保护测评和密码测评、能力域级别评价三部分。能力域从五个部分评价，且等保不低于三级关基认定行业主管部门、监督管理部门根据认定规则认定本行业的关基设施，及时将认定结果通知运营者，并通报国务院公安部门等级保护制度与关键信息基础设施保护制度

信息安全现状法律法规行业要求背景介绍-行业要求10

国能安全[2014]317号电力行业网络与信息安全管理办法11.国能安全[2014]318号电力行业信息安全等级保护管理办法国家发展改革委第14号令电力行业网络与信息安全管理办法.GB/T37138-2018电力信息系统等级保护实施指南背景介绍-行业要求

电力行业网络与信息安全管理办法12背景介绍-行业要求(续1)国能安全[2014]317号第八条 电力企业应当按照电力监控系统安全防护规定及国家信息安全等级保护制度的要求，对本单位的网络与信息系统进行安全保护。第九条 电力企业应当选用符合国家有关规定、满足网络与信息安全要求的信息技术产品和服务，开展信息系统安全建设或改建工作。

电力监控系统安全防护规定13背景介绍-行业要求（续2）国家发展改革委第14号令第二条 电力监控系统安全防护工作应当落实国家信息安全等级保护制度，按照国家信息安全等级保护的有关要求，坚持“安全分区、网络专用、横向隔离、纵向认证”的原则，保障电力监控系统的安全。第四条 本规定适用于发电企业、电网企业以及相关规划设计、施工建设、安装调试、研究开发等单位。

电力行业信息安全等级保护管理办法国能安全[2014]318号第八条电力企业应当按照电力监控系统安全防护规定及国家信息安全等级保护制度的要求，对本单位的网络与信息系统进行安全保护。第九条电力信息系统的安全保护等级确定后，运营、使用单位应当按照国家信息安全等级保护管理规范和技术标准，使用符合国家有关规定，满足信息系统安全保护等级需求的信息技术产品，开展电力信息系统安全建设或者改建工作。14背景介绍-行业要求（续3）

电力信息系统等级保护实施指南GB/T37138-20184.2.5 电力信息系统安全产品供应商电力信息系统安全产品供应商负责按照国家及电力信息系统安全等级保护的管理规范和技术标准,开发符合等级保护相关要求的网络安全产品,接受安全测评;按照国家有关要求销售网络安全产品并提供相关服务。15背景介绍-行业要求（续4）

背景介绍总结与建议测试用例与修复方案等保实施与测评要求解读0102030