1、信息安全等级保护培训,2014年11月21日,等级保护,等级保护,什么是等级保护,信息安全等级保护管理办法指出 信息安全等级保护是以信息为核心。根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度;遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度;针对信息的保密性、完整性和可用性要求及信息系统必须要达到的基本的安全保护水平等因素,对最核心的信息和信息系统划分为五个安全保护和监管等级,实行分等级保护。,为什么实施等级保护,实施信息安全等级保护,可以有效地提高我国信息安全建设的整体水平。 有利于在信息化建设过程中同步建设信息安全设施,保障信息安全与信息
2、化建设相协调; 有利于加强对涉及国家安全、经济秩序、社会稳定和公共利益的信息系统的安全保护和管理监督; 有利于明确国家、法人和其他组织、公民的安全责任,强化政府监管职能,共同落实各项安全建设和安全管理措施; 有利于提高安全保护的科学性、整体性、针对性,推动信息安全产业水平,逐步探索一条适应社会主义市场经济发展的信息安全发展模式。 有利于明确国家、法人和其他组织、公民的安全责任,强化政府监管职能,共同落实各项安全建设和安全管理措施; 有利于提高安全保护的科学性、整体性、针对性,推动信息安全产业水平,逐步探索一条适应社会主义市场经济发展的信息安全发展模式。,“一个提高,六个有利于”,国家对等级保护
3、测评的要求,信息安全等级保护管理办法“等级保护的实施与管理”第十四条指出:,建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定信息系统条件的测评单位,依据信息系统安全等级保护基本要求等技术标准,定期对信息系统安全等级状况开展等级测评。 第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。,广东省安全保护对测评要求,第十二条 第二级以上计算机信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合国家规定的安全等级测评机构,依据国家规定的技术标准,对计算机信息系统安全等级状况开展等级测评,测评合
4、格后方可投入使用。 第十三条 计算机信息系统的运营、使用单位及其主管部门应当按照国家规定定期对计算机信息系统开展安全等级测评,并对计算机信息系统安全状况、安全管理制度及措施的落实情况进行自查。计算机信息系统安全状况经测评或者自查,未达到安全等级保护要求的,运营、使用单位应当进行整改。,信息安全等级保护的标准体系,基础类 计算机信息系统安全保护等级划分准则GB 17859-1999 信息系统安全等级保护实施指南GB/T 25058-2010,应用类 定级:信息系统安全保护等级定级指南GB/T 22240-2008 建设:信息系统安全等级保护基本要求GB/T 22239-2008 信息系统通用安全
5、技术要求GB/T 20271-2006 信息系统等级保护安全设计技术要求GB/T 25070- 2010 测评:信息系统安全等级保护测评要求 信息系统安全等级保护测评过程指南 管理:信息系统安全管理要求GB/T 20269-2006 信息系统安全工程管理要求GB/T 20282-2006,信息安全等级保护的标准体系, 技术类 GB/T 21052-2007 信息安全技术 信息系统物理安全技术要求 GB/T 20270-2006 信息安全技术 网络基础安全技术要求 GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求 GB/T 20272-2006 信息安全技术 操作系统安全技
6、术要求 GB/T 20273-2006 信息安全技术 数据库管理系统安全技术要求 其他信息产品、信息安全产品等, 其它类 GB/T 20984-2007 信息安全技术 信息安全风险评估规范 GB/T 20285-2007 信息安全技术 信息安全事件管理指南 GB/Z 20986-2007 信息安全技术 信息安全事件分类分级指南 GB/T 20988-2007 信息安全技术 信息系统灾难恢复规范,等级保护标准与工作环节的关系,信息系统安全等级保护定级指南,信息系统安全等级保护行业定级细则,信息系统安全等级保护测评过程指南,信息系统安全等级保护测评要求,信息系统安全等级保护基本要求的行业细则,信息
7、系统安全等级保护基本要求,信息系统安全等级保护实施指南,信息系统等级保护安全设计技术要求,信息安全等级保护安全建设整改工作,安全等级,方法指导,现状分析,安全要求,技术类,信息系统通用安全技术要求,其他技术类标准,管理类,信息系统安全管理要求,其他管理类标准,计算机信息系统安全等级保护划分准则(GB17859),产品类,操作系统安全技术要求,其他产品类标准,等级保护,等级保护实施基本流程,公安网监审核,等保验收测评,系统备案,系统定级,颁发证书,安全需求分析,规划等保整改方案,检查报告及整改方案提交网监备案,等保整改实施,测评报告提交网监备案,运营单位系统自运维,材料不齐,不合格,不合格,合格
8、,定级不准,定级准,材料齐,合格,定级阶段,备案阶段,差距测评阶段,整改阶段,验收阶段,自查阶段,等级保护系统定级流程,用户,1.信息系统总体描述文件2.信息系统详细描述文件3.信息系统等级保护定级指南4.其他信息系统建设相关标准及文件,信息系统安全等级保护定级报告,等级保护系统定级方法,等级保护定级方法(定级指南),一般流程,定级对象,客体、社会关系,信息系统安全等级,对客体的侵害程度,受侵害的客体,系统服务安全等级,业务信息安全等级,等级确定,等级保护备案材料,用户网上备案所需材料,二级系统所需,三级系统所需,信息系统运营单位信息,备案授权人身份证(扫描件),信息系统定级报告,信息系统运营
9、单位信息,信息系统备案信息表,系统拓扑结构及说明,系统安全组织机构和管理制度,系统安全保护设计实施方案或改建实施方案,系统是使用的信息安全产品清单及其认证、销售许可证明,测评后符合系统安全保护等级的技术检测评估报告,信息系统安全保护等级专家评审意见,主管部门审核批准信息系统安全保护等级的意见,等保整改或测评之后提交网监,等级保护备案流程,网上备案申请,公安网监审核,提交申请材料,颁发备案证书,公安网监对用户备案申请进行审核,系统备案单位根据网监审核结果,到网监部门现场提交网上申请时的备案纸质资料,公安网监部门根据系统备案单位提交材料进行备案,颁发备案证书,材料不齐,定级不准,材料齐,定级准,用
10、户,金盾网注册企业账号,网上申请提交资料,公安网监,用户,公安网监,安全需求分析阶段,等保差距测评,安全分析/整改设计,物理安全核查,数据安全核查,应用安全核查,网络安全核查,主机安全核查,安全管理机构核查,系统运维管理核查,系统建设管理核查,安全管理制度核查,人员安全管理核查,安全管理机构合规性,系统运维管理合规性,系统建设管理合规性,安全管理制度合规性,人员安全管理合规性,网络安全合规性,主机安全合规性,应用安全合规性,数据安全合规性,资产对象调研,安全需求分析报告,等级保护安全整改方案,资产调研表网络拓扑图,物理安全合规性,技术以及管理标准,信息系统开发等相关文件,安全需求分析(差距测评
11、)单位,等保整改,等级保护整改阶段,整改实施单位:系统集成商、系统开发商、系统主管/使用/运营单位等,安全需求分析报告、等级保护整改方案,等保整改实施报告,等级保护验收阶段,1.安全测评委托书2.信息系统结构拓扑说明等详细描述文件3.系统安全组织结构和管理制度4.安全需求分析报告5.等级保护整改方案6.系统软件硬件和信息安全产品清单7.信息系统安全等级保护定级报告,用户(系统主管/使用/运营单位),第三方测评机构,1.信息系统安全等级保护基本要求2.信息系统等级保护测评要求3.信息系统其他相关文档以及等级保护相关标准,等级保护第三方测评报告,等级保护自查阶段,第三级计算机信息系统应当每年至少进行一次安全自查和安全测评,用户(系统主管/使用/运营单位),第三方测评机构测评,1.信息系统安全等级保护基本要求2.信息系统等级保护测评要求3.信息系统其他相关文档以及等级保护相关标准,等级保护第三方测评报告,Thank you!,
