等级保护_政策要求和标准体系
国家等级保护政策标准-解读
国家等级保护政策标准解读2.1.2 备案信息安全等级保护备案工作包括信息系统备案、受理、审核和备案信息管理等工作。
信息系统运营使用单位和受理备案的公安机关应按照《信息安全等级保护备案实施细则》的要求办理信息系统备案工作。
第二级以上信息系统,在安全保护等级确定后30天内,由其运营、使用单位或其主管部门到所在地设区的市级以上公安机关办理备案手续。
办理备案手续时,应当首先到公安机关指定的网址下载并填写备案表,准备好备案文件,然后到指定的地点备案。
安全设计与实施阶段的目标是按照信息系统安全总体方案的要求,结合信息系统安全建设项目计划,分期分步落实安全措施。
2.4 安全运行与维护安全运行与维护是等级保护实施过程中确保信息系统正常运行的必要环节,涉及的内容较多,包括安全运行与维护机构和安全运行与维护机制的建立,环境、资产、设备、介质的管理,网络、系统的管理,密码、密钥的管理,运行、变更的管理,安全状态监控和安全事件处置,安全审计和安全检查等内容。
本标准并不对上述所有的管理过程进行描述,希望全面了解和控制安全运行与维护阶段各类过程的本标准使用者可以参见其它标准或指南。
2.4.1 信息系统建设整改建设整改是等级保护工作落实的关键所在。
确定了各等级信息系统能够达到相应等级的基本保护水平和满足自身需求的安全保护能力。
要求。
参与角色包括:信息系统主管部门、信息系统运营使用单位以及信息安全等级测评机构。
等级测评主要参照的标准包括:《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评要求》、《信息系统安全等级保护测评过程指南》。
信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。
第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。
公安部关于贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见
公安部关于贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见文章属性•【制定机关】公安部•【公布日期】2020.09.22•【文号】•【施行日期】2020.09.22•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】公共信息网络安全监察正文贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见网络安全等级保护制度和关键信息基础设施安全保护制度是党中央有关文件和《网络安全法》确定的基本制度。
近年来,各单位、各部门按照中央网络安全政策要求和《网络安全法》等法律法规规定,全面加强网络安全工作,有力保障了国家关键信息基础设施、重要网络和数据安全。
但随着信息技术飞速发展,网络安全工作仍面临一些新形势、新任务和新挑战。
为深入贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度,健全完善国家网络安全综合防控体系,有效防范网络安全威胁,有力处置网络安全事件,严厉打击危害网络安全的违法犯罪活动,切实保障国家网络安全,特制定以下指导意见。
一、指导思想、基本原则和工作目标(一)指导思想以习近平新时代中国特色社会主义思想为指导,按照党中央、国务院决策部署,以总体国家安全观为统领,认真贯彻实施网络强国战略,全面加强网络安全工作统筹规划,以贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度为基础,以保护关键信息基础设施、重要网络和数据安全为重点,全面加强网络安全防范管理、监测预警、应急处置、侦查打击、情报信息等各项工作,及时监测、处置网络安全风险、威胁和网络安全突发事件,保护关键信息基础设施、重要网络和数据免受攻击、侵入、干扰和破坏,依法惩治网络违法犯罪活动,切实提高网络安全保护能力,积极构建国家网络安全综合防控体系,切实维护国家网络空间主权、国家安全和社会公共利益,保护人民群众的合法权益,保障和促进经济社会信息化健康发展。
(二)基本原则——坚持分等级保护、突出重点。
等保2.0政策规范解读(63页 PPT )
d) 应限制无线网络的使用,确保无线网络通过受控的边界防护设备 接入内部网络。
入侵防范
b) 应在关键网络节点处检测、防止或限制从内部发起的网络攻击行 为; (新增)
设计要求
测评要求
通用要求
云计算
物联网
移动互联
工业控制
7
。 share
等保2.0标准解读
勇 share
等级保护1.0和2.0对比
旧标准(等级保护1.0)
技术要求
物理安全 网络安全 主机安全 应用安全
管理要求
数据安全及备份恢复 安全管理制度 安全管理机构 人员安全管理 系统建设管理 系统运维管理
9
新标准(等级保护2.0)
无 入侵防范
无
a) 应采用校验码技术或密码技术保证通信过程中数据的完整性;
通信传输 b) 应采用密码技术保证通信过程中敏感信息字段或整个报文的保密 性。
a) 应保证跨越边界的访问和数据流通过边界防护设备提供的受控接 口进行通信;
边界防护
b) 应能够对非授权设备私自联到内部网络的行为进行限制或检 查;
3
4
6 防水和防潮
3
2
7 防静电
2
1
8 温湿度控制
1
4
9 电力供应
3
3
10 电磁防护
2
。 share
物理位置的选择
原控制项
新控制项
b)机房场地应避免设在建筑物的高层或 地下室,以及用水设备的下层或隔壁。 物理位置的选择
b)机房场地应避免设在建筑物的顶层或地下室, 否则应加强防水和防潮措施
防静电
无
信息安全等级保护政策体系-
第2部分
信息安全等级保护政策体系和标准体系
5.信息安全等级保护主要标准简要说明
(1)《计算机信息系统安全保护等级划分准则》(GB17859—1999) 1)主要作用 规范和指导计算机信息系统安全保护有关标准的制定; 为安全产品的研究开发提供技术支持; 为监督检查提供依据。 2)主要内容 界定计算机信息系统基本概念; 信息系统安全保护能力五级划分; 从自主访问控制、强制访问控制、标记、身份鉴别、客体重用、审计、数据完整性、隐蔽信道分析、 可信路径、可信恢复等十个方面, 采取逐级增强的方式提出了计算机信息系统的安全保护技术要求。 3)使用说明
统安全管理要求》的有关内容, 在设计建设整改方案时可参考。 按照整体安全的原则, 综合考虑安全保护措施。
第2部分
信息安全等级保护政策体系和标准体系
5.信息安全等级保护主要标准简要说明
(2)《信息系统安全等级保护基本要求》(GB/T22239—2008) 使用说明 业务信息安全类(S 类)——关注的是保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未 授权的修改。 系统服务安全类(A 类)——关注的是保护系统连续正常的运行, 避免因对系统的未授权修改、破坏而 导致系统不可用。 通用安全保护类(G 类)——既关注保护业务信息的安全性, 同时也关注保护系统的连续可用性。
2.信息安全等级保护标准体系
(1)信息安全等级保护相关标准类别 产品类标准 1)操作系统 《操作系统安全技术要求》(GB/T 20272—2006) 《操作系统安全评估准则》(GB/T 20008—2005) 2)数据库 《数据库管理系统安全技术要求》(GB/T 20273—2006) 《数据库管理系统安全评估准则》(GB/T 20009—2005)
安全管理制度评审、人员 安全和系统建设过程管理
国家信息安全等级保护制度的主要内容和要求
公
安
公安部 网络安全保卫局 郭启全
部
全国公安机关网络安全保卫部门 机构和职责
机构:公安部:网络安全保卫局
公
各省:网络警察总队 地市:网络警察支队
区县:网络警察大队
安 职责:制定信息安全政策
互联网安全管理,网上监控
部
打击网络犯罪
重要系统安全监察
网络与信息安全通报
部 对故意将信息系统安全级别定低,逃避公 安、保密、密码部门监管,造成信息系统 出现重大安全事故的,要追究单位和人员 的责任。
二、等级保护政策体系和标准体系
(一)信息安全等级保护政策体系
公
近几年,公安部根据国务院147号 令的授权,会同国家保密局、国家密
码管理局、发改委、原国务院信息办
安
出台了一些文件,公安部对有些具体 工作出台了一些指导意见和规范,构
部 (三)通过对信息系统开展等级测评,及时 发现了信息系统的安全隐患、漏洞和薄弱 环节,初步掌握了重要信息系统安全保护 状况。
近年来等级保护工作成效
(四)通过开展信息安全等级保护安全
公
建设整改,重要信息系统安全防护能 力显著增强,信息安全事件(事故)
数量明显下降。
安 (五)重要行业、部门以等级保护工作
部 支持、服务等工作,并接受监管部门的
监督管理。
一、等级保护制度的主要内容
专家组
公 宣传等级保护相关政策、标准; 指 导备案单位研究拟定贯彻实施意见和建设 规划、技术标准的行业应用;参与定级和
安 安全建设整改方案论证、评审;协助发现
树立典型、总结经验并推广;跟踪国内外
部 信息安全技术最新发展,开展等级保护关
1、国家信息安全等级保护相关政策条例
施的具体步骤和时间表。把等级保护确认为国家信息安全的基本制度和 根本方法,把等级保护提到一个新的高度,确定了等级保护的实施方 法、原则分工和计划等。
2006年1月,公安部、国家保密局、国家密码管理局、国信办联合制 定了《信息安全等级保护管理办法》(公通字[2006]7号)
2007年6月,四部委联合下发《信息安全等级保护管理办法》(公 通字[2007]43号)(43号文件),标志着等级保护的全面推广落实。43 号文明确了信息安全等级保护制度的基本内容、流程及工作要求,明确 了信息系统运营使用单位和主管部门、监管部门在信息安全等级保护工 作中的职责、任务等。 2007年10月,四部委联合下发了“关于开展全国重要信息系统安全等级 保护定级工作的通知”(公信安[2007]861号),全面部署了全国范围内 的重要信息系统定级工作。
浙江
浙江省人民政府令
等级保护的政策文件
2003年9月 中办国办颁发 《关于加强信息安全保障工作的意见》 中办发[2003]27号 2005年 公安部标准《基本要求》 《定级指南》 《实施指南》 《测评准则》 云南
云南省人民政府第130号令 国家级技术标准
国家级政策文件 地方政策文件 国家级政策文件
2004年11月 四部委会签 《关于信息安全等级保护工作的实施意见》 公通字[2004]66号 2005年9月 国信办文件 《 关于转发《电子政务信息安全等级保护实施指南》的通知 》 国信办[2004]25号 2006年1月 四部委会签 《 关于印发《信息安全等级保护管理办法的通知 》 公通字[2006]7号 北京
国家信息安全等级保护制度建设政策要求(公安部)
公
的主要目的 ♦ 明确重点、突出重点、保护重点。
安 ♦有利于同步建设、协调发展。
♦ 优化信息安全资源的配置。
部 ♦明确信息安全责任。
♦ 推动信息安全产业发展。
一、信息安全等级保护工作的主要 任务和内容
(三)等级保护工作的主要内容
公
♦ 信息系统定级 ♦ 信息系统备案
安
♦ 安全建设整改 ♦ 等级测评
部
行政级别的降低而降低,例如地市级 的重要系统不能定为一、二级。
一、信息安全等级保护工作的主要 任务和内容
(六)相关部门责任和义务 ♦ 监管部门:制定管理规范和技术标准 ,
公 组织实施,监督、检查、指导。 ♦ 行业主管部门:督促、检查、指导本行
安 业、本部门开展等级保护工作。 ♦ 运营使用单位:开展信息系统定级、备 案、建设整改、等级测评、自查等工
有机结合,确保安全管理制度得到
部 有效落实。
(3)建立并落实监督检查机制。
三、信息安全等级保护安全建设 整改工作的主要内容和要求
2、等级保护安全技术措施建设
公
♦结合行业特点和安全需求,制定 符合相应等级要求的信息系统安
安
全技术建设整改方案,开展安全 技术措施建设。
部 ♦可以采取“一个中心三维防护”
任务和内容
♦ 第四级信息系统:一般适用于国家重 要领域、重要部门中涉及国计民生、
公
国家利益、国家安全,影响社会稳定 的核心系统。例如全国铁路客票系统、
列车指挥调度系统、民航离港系统、
安
空管系统、电力二次系统、银行核心 业务系统、电信基础平台等。
需特别注意的是:同类信息系统
部 的安全保护等级不能随着部、省、市
三、信息安全等级保护安全建设 整改工作的主要内容和要求
等级保护基本要求管理要求
等级保护基本要求管理要求1.等级保护工作原则(1)安全原则:确保人员和财产安全。
(2)保密原则:确保涉密信息的机密性和完整性。
(3)有序原则:确保工作按照一定的流程和条例进行。
(4)综合原则:充分考虑各方面利益,做到协调发展。
2.等级保护工作的层次划分(2)商业秘密:确保市场竞争的公平性。
(3)个人隐私:确保公民的合法权益。
(4)其他机关、企事业单位的重要信息和资料。
3.等级保护责任的划分(1)上级主管部门:负责制定等级保护政策和法规,并组织实施。
(3)各部门、岗位的工作人员:负责具体的等级保护工作,包括信息的记录、存档和处理等。
4.等级保护工作的机构设置和人员要求(1)等级保护工作机构:设立等级保护办公室或委托专门机构负责等级保护工作。
(2)等级保护工作人员:具有相关专业知识和技能,经过相关培训合格,具备较强的保密意识和责任感。
5.等级保护工作的培训和教育要求(1)定期进行等级保护知识和技能培训,使工作人员掌握保密法律法规和保密技术,提高保密意识。
(2)对新员工进行保密教育,确保他们了解保密政策和规定。
(3)定期组织保密知识考核,对考核不合格的人员进行再培训。
6.等级保护工作的制度建设(1)建立健全等级保护管理制度,明确各级保密责任部门的职责和权限。
(2)建立等级保护档案,对重要信息和资料进行分类、归档和管理。
(3)规范信息交流和传递渠道,明确人员准入制度,防止信息泄露。
7.等级保护工作的技术措施(1)建立信息系统安全防护体系,包括网络安全、物理安全等。
(2)加强对外来人员和设备的进出审查,确保信息不受到非法侵入。
(3)加密和备份重要信息,确保信息的完整性和可用性。
8.等级保护工作的监督和检查(1)建立等级保护工作督查制度,对各部门、岗位的工作人员进行定期检查和评估。
(2)加强对外部合作单位的审查,确保他们的保密制度和能力符合要求。
(3)建立举报奖励和处罚制度,鼓励人员报告违反保密规定的行为,坚决查处违法违规行为。
国家实行网络安全等级保护制度:等级保护新标准2.0介绍
等级保护新标准(2.0)介绍1 2等级保护发展历程与展望等级保护2.0标准体系3等级保护2.0基本要求解析4等级保护2.0扩展要求解析等保1.0时代等保2.0工作展望1994-2003政策环境营造2004-2006工作开展准备2007-2010工作正式启动2010-2016工作规模推进•1994年,国务院颁布《中华人民共和国计算机信息系统安全保护条例》,规定计算机信息系统实行安全等级保护。
•2003年,中央办公厅、国务院办公厅颁发《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确指出“实行信息安全等级保护”。
•2004-2006年,公安部联合四部委开展涉及65117家单位,共115319个信息系统的等级保护基础调查和等级保护试点工作,为全面开展等级保护工作奠定基础。
•2007年6月,四部门联合出台《信息安全等级保护管理办法》。
•2007年7月,四部门联合颁布《关于开展全国重要信息系统安全等级保护定级工作的通知》。
•2007年7月20日,召开全国重要信息系统安全等级保护定级工作部署专题电视电话会议,标志着信息安全等级保护制度正式开始实施。
•2010年4月,公安部出台《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》,提出等级保护工作的阶段性目标。
•2010年12月,公安部和国务院国有资产监督管理委员会联合出台《关于进一步推进中央企业信息安全等级保护工作的通知》,要求中央企业贯彻执行等级保护工作。
等保1.0时代等保2.0工作展望•2016年10月10日,第五届全国信息安全等级保护技术大召开,公安部网络安全保卫局郭启全总工指出“国家对网络安全等级保护制度提出了新的要求,等级保护制度已进入2.0时代”。
•2016年11月7日,《中华人民共和国网络安全法》正式颁布,第二十一条明确“国家实行网络安全等级保护制度……”•以《GB17859计算机信息系统安全保护等级划分准则》、《GB/T22239-2008 信息安全技术信息系统安全等级保护基本要求》为代表的等级保护系列配套标准,习惯称为等保1.0标准。
【等保培训PPT】信息安全等级保护制度的主要内容
目录
第二章、等级保护政策体系和标准体系
① ② 信息安全等级保护政策体系 信息安全等级保护标准体系
2.1、信息安全等级保护政策体系
2.2、信息安全等级保护标准体系
在 安 等全 级建 保设 护整 有改 关工 标作 准的 作 用
目录
第三章、等级保护工作的具体内容和要求
① ② ③ ④ ⑤ 信息安全等级保护定级工作 信息安全等级保护备案工作 信息系统安全建设整改工作 信息安全等级保护测评工作 安全自查和监督检查
1.3、国家等级保护制度的要求
1、《中华人民共和国计算机信息系公统安全保护条例》( 国务院147号令) “计算机信息系统实行安全等级保护,安 全等级的划分标准和安全等级保护的具体办法,由公安部会 同有关部门制定” 。 2.《国家信息化领导小组关于加强信息安全保障工作的意见 》(中公办发[2003]27号)规定:要重点保护基础信息网络 和关系国家安全、经济命脉、社会稳定等方面的重要信息系 统,抓紧建立信息安全等级保护制度,制定信息安全等级保 护的管理办法和技术指南。
信息安全等级保护制度 的主要内容和要求
苏阳浪 信息安全等级保护高级测评师 海南省信息安全等级保护专家组委员会技术组成员 邮箱:suyanglang@
目 录
• 一、信息安全等级保护工作概述 • 二、等级保护政策体系和标准体系 • 三、信息安全等级保护工作的具体内容与要求
目录
3.1、信息安全等级保护定级工作
• 是信息安全等级保护的首要环节 • 定级原则:“自主定级、专家评审、主管部门审批、公安 机关审核”。具体可按照《关于开展全国重要信息系统安 全等级保护定级工作的通知》 (公通字[2007]861号) 要求执行。 • 在等级保护工作中,信息系统运营使用单位和主管部门按 照“谁主管谁负责,谁运营谁负责”的原则开展工作,并 接受信息安全监管部门对开展等级保护工作的监管。 • 定级工作流程:确定定级对象、确定信息系统安全保护等 级、组织专家评审、主管部门审批、公安机关审核。
信息安全等级保护制度的主要内容和要求
• 2008年1月2日发布的国家安全总统令54/国土安全总统令 23,建立了国家网络安全综合计划(CNCI)。 • 三道防线 – 建立第一线防御:减少当前漏洞和隐患,预防入侵; – 全面应对各类威胁:增强反间能力,加强供应链安全 来抵御各种威胁; – 强化未来安全环境:增强研究、开发和教育以及投资 先进的技术来构建将来的环境。 • 十二项任务
重视关键基础设施信息安全保障,建立日尔曼人的“基线” 防御。 1997年建立部际关键基础设施工作组; 2005年出台《信息基础设施保护计划》和《关键基础设施保 护的基线保护概念》
法国信息安全保障体系建设动态
• 2003年12月总理办公室提出《强化信息系统安全国家计划 》并得到政府批准实施,四大目标: – 确保国家领导通信安全; – 确保政府信息通信安全; – 建立计算机反共济能力; – 将法国信息系统安全纳入欧盟颞部法国安全政策范围 。 • 2009年7月7日,成立国家级“网络和信息安全局”,置于 总理领导之下,隶属国防部。
印度
• 重点保护对象: – 银行和金融、保险、民航、电信、原子能、电力、邮政 、铁路、太空、石油和天然气、国防、执法机关
• 机构: – 国家信息委员会、国家信息安全协调中心、信息基础设 施保护中心、信息技术局、印度计算机应急响应小组 • 基本做法: – 2000年,颁布《信息安全法》; – 积极推广互联网和IT基础设施建设等; – 2009年印度政府宣布开发“中央监控系统”,直接连接 国内所有通信服务商,实现对印度境内所有电话和互联 网通信的监听
信息安全是国家安全的重要组成部分已成为世界各国 的共识;
各国纷纷出台自己的信息安全战略和政策,加强自身 的国家信息安全保障体系建设。
国外信息安全保障体系的最新趋势
等保2.0标准体系
等保2.0标准体系一、信息安全等级保护基本要求1.信息系统定级准确,满足等级保护基本要求。
2.信息系统安全保护等级符合国家信息安全等级保护政策要求。
3.信息系统安全保护等级与安全需求相适应。
4.信息系统安全保护措施合理有效,满足等级保护基本要求。
二、云计算安全扩展要求1.云计算平台应满足国家信息安全等级保护政策要求。
2.云计算平台应具备安全防护能力,包括虚拟化安全、存储安全、计算安全等方面。
3.云计算平台应具备数据保护能力,确保数据不被泄露或滥用。
4.云计算平台应具备安全审计能力,能够对云服务使用情况进行全面监控和审计。
三、大数据安全扩展要求1.大数据平台应满足国家信息安全等级保护政策要求。
2.大数据平台应具备数据安全防护能力,确保数据不被未经授权的访问、篡改或删除。
3.大数据平台应具备数据隐私保护能力,确保个人隐私和商业机密不被泄露。
4.大数据平台应具备安全审计能力,能够对大数据服务使用情况进行全面监控和审计。
四、物联网安全扩展要求1.物联网设备应满足国家信息安全等级保护政策要求。
2.物联网设备应具备网络安全防护能力,防止网络攻击和数据泄露。
3.物联网设备应具备数据隐私保护能力,确保个人隐私和商业机密不被泄露。
4.物联网设备应具备安全审计能力,能够对物联网服务使用情况进行全面监控和审计。
五、工业控制安全扩展要求1.工业控制系统应满足国家信息安全等级保护政策要求。
2.工业控制系统应具备网络安全防护能力,防止网络攻击和数据泄露。
3.工业控制系统应具备物理安全防护能力,防止未经授权的物理访问和数据泄露。
4.工业控制系统应具备安全审计能力,能够对工业控制服务使用情况进行全面监控和审计。
六、移动互联安全扩展要求1.移动应用应满足国家信息安全等级保护政策要求。
2.移动应用应具备网络安全防护能力,防止网络攻击和数据泄露。
3.移动应用应具备数据隐私保护能力,确保个人隐私和商业机密不被泄露。
4.移动应用应具备安全审计能力,能够对移动应用使用情况进行全面监控和审计。
等级保护2.0标准体系
等级保护2.0标准体系一、概述等级保护2.0标准体系是中国信息安全等级保护工作的指导性文件,包括了一系列与信息安全等级保护相关的标准、规范和指南。
该标准体系旨在提高信息安全保障能力,促进信息系统健康发展,维护国家安全和社会稳定。
二、主要内容1. 信息安全等级保护管理办法《信息安全等级保护管理办法》是等级保护2.0标准体系的基础性文件,规定了信息安全等级保护的基本原则、管理机构、责任主体、保护等级的确定和信息安全管理等方面的要求。
2. 信息系统安全等级保护定级指南《信息系统安全等级保护定级指南》是指导性文件,提供了定级的方法和步骤,帮助信息系统所有者确定其信息系统的安全等级。
3. 信息系统安全等级保护基本要求《信息系统安全等级保护基本要求》是一份强制性标准,规定了不同安全等级的信息系统应满足的基本安全要求。
4. 信息系统安全等级保护实施指南《信息系统安全等级保护实施指南》提供了实施信息安全等级保护的指导性意见和方法,包括系统规划、设计、建设、测试、验收等环节。
5. 信息系统安全等级保护测评指南《信息系统安全等级保护测评指南》提供了对信息系统进行安全等级测评的方法和步骤,帮助测评机构进行公正、客观的测评。
6. 信息系统安全等级保护应急预案指南《信息系统安全等级保护应急预案指南》提供了制定和实施应急预案的指导性意见,以应对可能发生的突发事件。
7. 信息系统安全等级保护整改指南《信息系统安全等级保护整改指南》提供了整改信息安全问题的指导性意见和方法,帮助信息系统所有者进行整改。
8. 信息系统安全等级保护管理制度建设指南《信息系统安全等级保护管理制度建设指南》提供了建立和完善信息安全管理制度的指导性意见,包括信息安全政策、组织架构、职责分工等。
9. 信息系统安全等级保护培训教材编写指南《信息系统安全等级保护培训教材编写指南》提供了编写培训教材的指导性意见和方法,帮助培训机构进行培训教材的编写。
该指南旨在提高培训教材的质量和实用性,帮助学员更好地掌握信息安全知识和技能。
网络安全等级保护2.0交流
2010年3月公安部发 文《关于推动信息 安全等级保护测评 体系建设和开展等 级测评工作的通知》 (公信安[303]号)
2009年公安部发文 《关于开展信息系 统等级保护安全建 设整改工作的指导 意见》(公信安 [2009] 1429号)
2008年发布GB/T 22239—2008 《信 息系统安全等级保 护基本要求》GB/T 22240-2008 《信 息系统安全等级保 护定级指南》
级以上公安机关
县级以上公安机关;
等保护1.0 VS 2.0基本要求的变化
等保1.0-基本要求
物理安全
网络安全
技术要求
主机安全
应用安全
数据安全及备份恢复
安全管理制度
安全管理机构
管理要求
人员安全管理
系统建设管理
系统运维管理
等保2.0-新基本要求
安全物理环境
安全通信网络
安全区域边界 技术要求
安全计算环境
• 定级指南 等待发布
新时期等级保护依据的法律、法规
法律、政策依据 • 《网络安全法》第二十一条明确要求:“国家实行网络安全等级保护制度”。
• 《网络安全等级保护条例》第三条【确立制度】国家实行网络安全等级保护制度,对网络实施分等 级保护、分等级监管(待发布)。
• 《关键信息基础设施安全保护条例》(待发布)。 • 《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安 [2009] 1429号)。 • 中央关于加强社会治安防控体系建设的意见、公安改革若干重大问题的框架意见要求“健全完善信
安全计算环境
安全计算环境
安全计算环境
安全计算环境
管理要求
网络安全等级保护条例
网络安全等级保护条例领导全国网络安全等级保护工作,负责制定网络安全等级保护工作的政策、标准和规范,指导、协调、监督网络安全等级保护工作的实施。
各级人民政府应当按照职责分工,加强对所辖区域网络安全等级保护工作的组织领导和监督管理。
网络运营者应当按照国家标准和规范,建立健全网络安全等级保护制度,明确网络安全等级保护的职责和义务,采取有效措施保障网络安全等级保护。
第六条【等级划分】网络安全等级保护工作实行分级分类管理,分为三个等级:重要信息系统安全保护等级、网络安全等级保护等级和基本网络安全保护等级。
第七条【等级保护】网络安全等级保护工作应当按照等级保护要求,采取相应的技术、管理和物理保护措施,保障网络安全等级保护。
网络安全等级保护等级的划分和保护要求,由XXX会同有关部门制定并公布。
第八条【信息公开】XXX应当定期公布网络安全等级保护工作的有关情况,接受社会公众和相关组织的监督和检查。
各级人民政府应当按照有关规定,加强对本行政区域网络安全等级保护工作的宣传和教育,提高公众网络安全意识和自我保护能力。
网络运营者应当按照国家有关规定,公开网络安全等级保护制度、等级保护情况和相关技术、管理和物理保护措施,接受社会公众和相关组织的监督和检查。
网络安全等级保护条例(征求意见稿)目录总则。
- 2 -支持与保障。
- 4 -网络的安全保护。
- 5 -涉密网络的安全保护。
- 13 -密码管理。
- 15 -监督管理。
- 17 -法律责任。
- 21 -附则。
- 23 -领导网络安全等级保护工作的统筹协调工作由国家网信部门负责。
公安部门负责监督管理网络安全等级保护工作,依法组织开展网络安全保卫。
涉密网络分级保护工作由国家保密行政管理部门主管,负责相关保密工作的监督管理。
密码管理工作由国家密码管理部门负责监督管理。
其他有关部门在各自职责范围内开展网络安全等级保护相关工作。
县级以上地方人民政府应依照法律法规规定,开展网络安全等级保护工作。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Inspur浪潮
等级保护工作是多方参与,涉及技术与管理两个领 域的复杂系统工程,迫切需要制定一个科学、合理和完
整的等级保护标准体系,利用它来规范、指导和协调不
同参与方在不同工作环节的安全活动。 为保障我国信息安全等级保护工作顺利推进,通过 对目前国内外信息安全标准体系的研究和分析,基于信 息安全等级保护工作的基本工作内容,需要制定、梳理
(国务院147号令)的授权,会同国家保密局、国家密码 管理局和原国务院信息办出台了一些文件,国家发改委 会同公安部、国家保密局出台了相关文件,公安部对有 些具体工作出台了一些指导意见和规范,这些文件初步 构成了信息安全等级保护政策体系,为指导各地区、各 部门开展等级保护工作提供了政策保障。
浪潮信息安全事业部
浪潮信息安全事业部
信息安保护
Inspur浪潮
信息安全等级保护是国家信息安全保障的基本
制度、基本策略、基本方法。 开展信息安全等级保护工作是保护信息化发展、 维护国家信息安全的根本保障,是信息安全保障工 作中国家意志的体现。
浪潮信息安全事业部
信息安全等级保护 一、基本情况--什么是信息安全等级保护
信息安全等级保护 一、基本情况--标准起草背景
法律基础
Inspur浪潮
《中国人民共和国计算机信息系统安全保护条例》
(国务院令147号)第九条---“计算机信息系统实行安全等级保护。安全等级 的划分标准和安全等级保护的具体办法,由公安部会同 有关部门制定。”
浪潮信息安全事业部
信息安全等级保护 一、基本情况--标准起草背景
信息安全等级保护
信息安全等级保护工作 定级 备案 建设整改 等级测评 监督检查
Inspur浪潮
[2007]1360
工《 作关 的于 通开 知展 》全 (国 公重 通要 字信 息 系 统 安 号全 )等 级 保 护 定 级
《 信 息 安 号全 )等 级 保 护 备 案 实 施 细 则 》 ( 公 信 安
信息安全等级保护
Inspur浪潮
信息安全等级保护 政策要求和标准体系
2014年11月
浪潮信息安全事业部
信息安全等级保护
Inspur浪潮 提
一、基本情况
二、政策要求
纲
三、标准体系
四、实施指南解读 五、基本要求解读
浪潮信息安全事业部
信息安全等级保护
Inspur浪潮
一、基本情况
1、什么是信息安全等级保护 2、信息安全等级保护的作用 3、安全保护等级的划分
和完善目前等级保护工作需要的标准体系。
浪潮信息安全事业部
信息安全等级保护
Inspur浪潮 提
一、基本情况
纲
二、政策要求
三、标准体系 四、实施指南解读 五、基本要求解读
浪潮信息安全事业部
信息安全等级保护 一、等级保护政策要求
Inspur浪潮
近几年,为组织开展信息安全等级保护工作,公安部
根据《中华人民共和国计算机信息系统安全保护条例》
浪潮信息安全事业部
信息安全等级保护
Inspur浪潮
一、基本情况
1、什么是信息安全等级保护 2、信息安全等级保护的作用 3、安全保护等级的划分
4、等级保护工作的职责分工
5、等级保护工作的进展
6、标准起草背景
浪潮信息安全事业部
信息安全等级保护 一、基本情况--进展
1994年 第一次提出 职责单位(公安 部)
4、等级保护工作的职责分工
5、等级保护工作的进展
6、标准起草背景
浪潮信息安全事业部
信息安全等级保护 一、基本情况--信息安全等级保护的作用
Inspur浪潮
提出信息安全工作的思路
划定信息系统保护的基线 发现信息系统的问题和差距 明确信息系统安全保护的方向 提升信息系统的安全保护能力
浪潮信息安全事业部
浪潮信息安全事业部
信息安全等级保护 一、基本情况--什么是信息安全等级保护
Inspur浪潮
流程
备案
B
定级
A
等级保护 工作的主 要流程
E
C
建设整改
监督检查
D 等级测评
浪潮信息安全事业部
信息安全等级保护
Inspur浪潮
一、基本情况
1、什么是信息安全等级保护 2、信息安全等级保护的作用 3、安全保护等级的划分
政策基础
Inspur浪潮
《国家信息化领导小组关于加强信息安全保障工作
的意见》(中办发[2003]27号)---“要重点保护基础信息网络和关系国家安全、经济 命脉、社会稳定等方面的重要信息系统,抓紧建立信息 安全等级保护制度,制定信息安全等级保护的管理办法 和技术指南”。
浪潮信息安全事业部
信息安全等级保护 一、基本情况--标准起草背景
等关 级于 测推 评动 工信 作息 的安 通全 知等 (级 公保 信护 安测 评 体 系 建 号设 )和 开 展
行《 )公 》安 (机 公关 信信 安息 安 全 等 级 号保 )护 检 查 工 作 规 范 ( 试
知《 》关 (于 公开 信展 安信 息 安 全 等 级 号保 )护 专 项 监 督 检 查 的 通
[2009]1487
[2010]303
浪潮信息安全事业部
行业主管部门督促、检查、指导本行业、本部门开展
等级保护工作。 运营使用单位开展信息系统定级、备案、建设整改、 等级测评、自查等工作,落实等级保护制度的各项要 求。
安全服务机构开展技术支持、服务等工作,并接受监
管部门的监督管理。
浪潮信息安全事业部
信息安全等级保护 一、基本情况--职责分工
Inspur浪潮
对象
一般 系统
侵害客体
合法权益 合法权益
侵害程度
损害 严重损害
监管强度
自主保护
第二级
指导
社会秩序和公共利益
第三级 重要 系统 第四级 国家安全 极端 重要 系统
损害 严重损害
损害 特别严重损害 严重损害 强制监督 检查 专门监督 检查 监督检查
社会秩序和公共利益
国家安全 社会秩序和公共利益
第五级
国家安全
技术基础 《计算机信息系统安全保护等级划分准则》
Inspur浪潮
(GB17859-1999)将计算机信息系统的安全保护能力
划分为五个等级: 第一级:用户自主保护级; 第二级:系统审计保护级; 第三级:安全标记保护级;
第四级:结构化保护级;
第五级:访问验证保护级。
浪潮信息安全事业部
信息安全等级保护 一、基本情况--标准起草背景
Inspur浪潮
十几年的发展
组织架构
2007年 43号文实施 等级保护大会召开 等保监督检查工作规范 发布
147号令
等级保 护发展
标准体系 技术体系
等保新阶段
浪潮信息安全事业部
信息安全等级保护 一、基本情况--进展
组织机构
Inspur浪潮
国家信息安全等级保护工作协调小组
2006年5月18日第一次会议
特别严重损害
浪潮信息安全事业部
信息安全等级保护
Inspur浪潮
一、基本情况
1、什么是信息安全等级保护 2、信息安全等级保护的作用 3、安全保护等级的划分
4、等级保护工作的职责分工
5、等级保护工作的进展
6、标准起草背景
浪潮信息安全事业部
信息安全等级保护 一、基本情况--职责分工
Inspur浪潮
职能部门制定管理规范和技术标准,组织实施,开展 监督、检查、指导。
5、等级保护工作的进展
6、标准起草背景
浪潮信息安全事业部
信息安全等级保护 一、基本情况--标准起草背景
安全形势严峻
Inspur浪潮
西强我弱的局面长期存在,信息安全战略
威胁更加突出
各类网络安全威胁不断增多,网络安全防 范难度加大 信息安全建设缺乏规范,安全防护能力亟 待提高
浪潮信息安全事业部
信息安全等级保护 一、基本情况--信息安全等级保护的作用
Inspur浪潮
实施信息安全等级保护,能够有效地提高我国信息和信 息系统安全建设的整体水平,有利于在信息化建设过程中同 步建设信息安全设施,保障信息安全与信息化建设相协调;
有利于为信息系统安全建设和管理提供系统性、针对性、
可行性的指导和服务,有效控制信息安全建设成本;
浪潮信息安全事业部
信息安全等级保护 一、基本情况--信息安全等级保护的作用
Inspur浪潮
有利于优化信息安全资源的配置,对信息系统分级实施 保护,重点保障基础信息网络和关系国家安全、经济命脉、 社会稳定等方面的重要信息系统的安全;
有利于明确国家、法人和其他组织、公民的信息安全责
任,加强信息安全管理; 有利于推动信息安全产业的发展,逐步探索出一条适应 社会主义市场经济发展的信息安全模式。
的《 指关 导于 意开 见展 》信 (息 公系 信统 安等 级 保 护 安 全 号建 )设 整 改 工 作
风《 险关 评于 估加 工强 作国 的家 通电 知子 》政 (务 发工 改程 高建 技设 项 目 信 息 安 号全 ) [2008]2071
行关 )于 》印 的发 通《 知信 (息 公系 信统 安安 全 等 级 测 评 号报 )告 模 版 ( 试
Inspur浪潮
国家层面
国家制定统一的信息安全等级保护管理规范和 技术标准,组织公民、法人和其他组织对信息系统 分等级实行安全保护,对信息安全产品的使用分等 级实行管理,对等级保护工作的实施进行监督、指 导。
浪潮信息安全事业部
信息安全等级保护 一、基本情况--什么是信息安全等级保护
Inspur浪潮