信息系统等级保护共44页文档46页PPT
信息系统安全等级保护备案表
信息系统安全等级保护备案表(红色字体请在打印前删除、表格固定格式请勿随意改动、此表一式两份、 必选无选项,在其他填写)(骑缝章)备 案 单 位: 备案单位全称(盖单位章)备 案 日 期: 到网安部门提交材料日期受理备案单位: 受 理 日 期:备案表编号:填表说明一、制表依据。
根据《信息安全等级保护管理办法》(公通字[2007]43号)之规定,制作本表;二、填表范围。
本表由第二级以上信息系统运营使用单位或主管部门(以下简称“备案单位”)填写;本表由四张表单构成,表一为单位信息,每个填表单位填写一张;表二为信息系统基本信息,表三为信息系统定级信息,表二、表三每个信息系统填写一张;表四为第三级以上信息系统需要同时提交的内容,由每个第三级以上信息系统填写一张,并在完成系统建设、整改、测评等工作,投入运行后三十日内向受理备案公安机关提交;表二、表三、表四可以复印使用;三、保存方式。
本表一式二份,一份由备案单位保存,一份由受理备案公安机关存档;四、本表中有选择的地方请在选项左侧“ ”划“√”,如选择“其他”,请在其后的横线中注明详细内容;五、封面中备案表编号(由受理备案的公安机关填写并校验):分两部分共11位,第一部分6位,为受理备案公安机关代码前六位(可参照行标GA380-2002)。
第二部分5位,为受理备案的公安机关给出的备案单位的顺序编号;六、封面中备案单位:是指负责运营使用信息系统的法人单位全称;七、封面中受理备案单位:是指受理备案的公安机关公共信息网络安全监察部门名称。
此项由受理备案的公安机关负责填写并盖章;八、表一04行政区划代码:是指备案单位所在的地(区、市、州、盟)行政区划代码;九、表一05单位负责人:是指主管本单位信息安全工作的领导;十、表一06责任部门:是指单位内负责信息系统安全工作的部门;十一、表一08隶属关系:是指信息系统运营使用单位与上级行政机构的从属关系,须按照单位隶属关系代码(GB/T12404―1997)填写;十二、表二02系统编号:是由运营使用单位给出的本单位备案信息系统的编号;十三、表二05系统网络平台:是指系统所处的网络环境和网络构架情况;十四、表二07关键产品使用情况:国产品是指系统中该类产品的研制、生产单位是由中国公民、法人投资或者国家投资或者控股,在中华人民共和国境内具有独立的法人资格,产品的核心技术、关键部件具有我国自主知识产权;十五、表二08系统采用服务情况:国内服务商是指服务机构在中华人民共和国境内注册成立(港澳台地区除外),由中国公民、法人或国家投资的企事业单位;十六、表三01、02、03项:填写上述三项内容,确定信息系统安全保护等级时可参考《信息系统安全等级保护定级指南》,信息系统安全保护等级由业务信息安全等级和系统服务安全等级较高者决定。
信息安全等级保护标准
信息安全等级保护标准
1. 安全目标:明确了信息系统安全保护的目标,包括机密性、完整性和可用性。
2. 安全等级划分:根据信息系统的安全需求和重要性,将其划分为不同的安全等级。
3. 安全技术要求:包括物理安全、网络安全、系统安全等方面的技术要求,如访问控制、身份认证、加密传输等。
4. 安全管理措施:包括组织结构、人员管理、安全培训等方面的管理措施,以保证信息安全的有效管理。
5. 安全测试评估:对信息系统进行定期的安全测试和评估,发现系统中存在的安全漏洞和风险,并及时采取措施进行修复。
6. 安全事件响应:建立健全的安全事件响应机制,对安全事件进行及时处理和跟踪,同时进行安全事故的调查与处理。
等保标准适用于政府机关、企事业单位等组织,旨在加强信息系统的安全保护,防止信息泄露、数据破坏、系统瘫痪等安全事件的发生。
对于不同行业和领域的组织,根据其安全需求和实际情况,可以进行相应的等级划分和安全措施的实施。
信息系统安全等级保护基本要求培训课件
定期进行漏洞扫描,对发现的 网络安全漏洞及时进行修补。
网络访问控制
访问控制策略应明确允许或拒绝网络访问的规则和条件,包括用户、地址、端口、 协议等要素。
应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口 级。
应按用户和系统之间的访问控制规则,决定允许或拒绝用户对受控系统资源的访问 ,控制粒度为单个用户。
应能够对远程访问的用户行为、系统资源的异常使用和 重要系统命令的使用等进行监测。
通信保密和完整性保护
应采用密码技术保证通信过程中数据 的保密性和完整性。
应对通信过程中的整个报文或会话过 程进行加密。
在通信双方建立连接之前,应用系统 应利用密码技术进行会话初始化验证 。
06
CATALOGUE
数据安全及备份恢复基本要求
建立完善的权限管理制度,对各个系统和应用的权限进行严格控制和管 理。
制定并执行相关管理制度和操作规程
对管理制度和操作规程进行定期评审和修订,确保其 适应业务发展和安全需求的变化。
制定信息安全总体方针、安全策略、管理制度和操作 规程等文件。
加强制度和规程的宣传和培训,确保相关人员熟知并 遵守各项规定。
02
CATALOGUE
物理安全基本要求
物理环境安全01源自0203场地选择信息系统所在场所应选择 在具有防震、防风和防雨 等能力的建筑内。
物理访问控制
物理场所应有严格的访问 控制措施,如门禁系统、 监控摄像头等。
物理安全监测
应建立物理安全监测机制 ,对物理环境进行实时监 测和记录,以便及时发现 和处置安全问题。
物理访问控制
人员进出管理
建立严格的人员进出管理 制度,对进出人员进行身 份核实和登记。
最新等级保护ppt课件
准 料 测评所需的各种资
源
记 ➢ 被测单位签署现场 备 录 归 测评授权委托书
➢ 访谈 ➢ 文档审查 ➢ 配置检查 ➢ 工具测试 ➢ 实地查看
➢ 召开测评现场结束会, 确认测评过程的问题, 对漏掉的和改进的信息 进一步验证和补充测评
➢ 归还测评过程中借阅的 所有文档资料,并由被 测单位文档资料提供者 签字确认
定级对象识别与划分
• 可能使定级要素赋值不同因素 – 可能涉及不同客体的系统。 – 可能对客体造成不同程度损害的系统。 – 处理不同类型业务的系统。
• 本身运行在不同的网络环境中的系统。 • 分不开的系统,按照高级别保护。
两种安全定义
定级流程
S
A
G=MAX(S,A)
业务信息安全等级矩阵表
系统服务安全等级矩阵表
➢ 安全保障管理体系描述
析备
测测
等级保护实施流程
评对测工评具评 指 系统定级
备案
安全建 设整改
等级 测评
监督 检查
➢分析确定被测试系统的对象与指标
方 案
象测测接评 评入标 ➢使用漏洞扫描器、渗透测试工具集等测 试工具,网络拓扑内外部,及边界等位 置进行测试
编 制
确测点内指评确 容 导确
➢根据具体测评指标结合到测评对象上, 构成具体测评单元
➢ 针对单项测评的不符合项,采取逐条判定的 方法,从安全控制间、层面间和区域间触发 考虑,给出系统整体测评的具体结果和结论, 并对系统结构进行整体安全测评
➢ 在单项测评结果汇总分析和系统整体测评分 析的基础上,找出系统保护现状与等级保护 基本要求之间的差距,并形成等级测评结论
➢ 结果汇总分析、系统整体测评分析、综合结 论、改进建议和附录等
信息系统安全等级保护课件
信息系统安全等级保护
➢ 第一级:用户自主保护级。 ➢ 第二级:系统审计保护级。 ➢ 第三级:安全标记保护级。 ➢ 第四级:结构化保护级 (系统整体安全设计)。 ➢ 第五级:访问验证保护级。 ➢ 以《计算机信息系统安全保护等级划分准则》
➢ 《国家信息化领导小组关于加强信息安全保障工作的意见》 重点强调:实行信息安全等级保护制度,重点保护基础信 息网络和重要信息系统。
信息系统安全等级保护
➢ 信息系统安全等级保护是指对信息安全实行等级化 保护和等级化管理。
➢ 根据信息系统应用业务重要程度及其实际安全需求, 实行分级、分类、分阶段实施保护,保障信息安全 和系统安全正常运行,维护国家利益、公共利益和 社会稳定。
信息系统安全等级保护
➢ 一般适用于地市级以上国家机关、重要企事业单位 内部重要的信息系统。
➢ 能够在统一安全策略下防护系统免受来自外部有组 织的团体、拥有较为丰富资源的威胁源发起的恶意 攻击、较为严重的自然灾难、以及其他相当危害程 度的威胁所造成的主要资源损害,能够发现安全漏 洞和安全事件,在系统遭到损害后,能够较快恢复 绝大部分功能。
信息系统安全等级保护
➢ 一般适用于国家重要领域、重要部门中的特别重要 系统以及核心系统。
➢ 能够在统一安全策略下防护系统免受来自国家级别 的、敌对组织的、拥有丰富资源的威胁源发起的恶 意攻击、严重的自然灾难、以及其他相当危害程度 的威胁所造成的资源损害,能够发现安全漏洞和安 全事件,在系统遭到损害后,能够迅速恢复所有功 能。
信息系统安全等级保护
《信息安全等级保护》PPT课件
• 信息安全等级保护的关键所在正是基于信息系 统所承载应用的重要性,以及该应用损毁后带 来的影响程度来判断风险是否控制在可接受的 范围内。
精选PPT
6
原则
• 谁主管谁负责、谁运营谁负责 • 自主定级、自主保护、监督指导
精选PPT
7
主要流程
一是:定级。
二是:备案。
三是:系统建设、整改。
四是:等级测评。
• 对技术要求
– ‘访谈’方法:
• 目的是了解信息系统的全局性。 • 范围一般不覆盖所有要求内容。
– ‘检查’方法:
• 目的是确认信息系统当前具体安全机制和运行的配 置是否符合要求 。
• 范围一般要覆盖所有要求内容。
– ‘测试’方法:
• 目的是验证信息系统安全机制有效性和安全强度。
• 范围不覆盖所有要求内容。
– 第三级,信息系统受到破坏后,会对社会秩序和公共 利益造成严重损害,或者对国家安全造成损害。
– 第四级,信息系统受到破坏后,会对社会秩序和公共 利益造成特别严重损害,或者对国家安全造成严重损 害。
– 第五级,信息系统受到破坏后,会对国家安全造成特 别严重损害。
精选PPT
10
定级原理(2)
• 定级要素
精选PPT
22
22
关系2
一级系统
通信/边界(基本)
二级系统
通信/边界/内部(关键设备)
三级系统
通信/边界/内部(主要设备)
通信/边界/内部/基础设施(所有设备) 四级系统
精选PPT
23
23
关系3
一级系统
计划和跟踪(主要制度)
二级系统
计划和跟踪(主要制度)
良好定义(管理活动制度化) 三级系统
信息网络安全等级保护资料PPT文档31页
36、“不可能”这个字(法语是一个字 ),只 在愚人 的字典 中找得 到。--拿 破仑。 37、不要生气要争气,不要看破要突 破,不 要嫉妒 要欣赏 ,不要 托延要 积极, 不要心 动要行 动。 38、勤奋,机会,乐观是成功的三要 素。(注 意:传 统观念 认为勤 奋和机 会是成 功的要 素,但 是经过 统计学 和成功 人士的 分析得 出,乐 观是成 功的第 三要素 。
39、没有不老的誓言,没有不变的承 诺,踏 上旅途 ,义无 反顾。 40、对时间的价值没有没有深切认识 的人, 决不会 坚财富 ❖ 丰富你的人生
71、既然我已经踏上这条道路,那么,任何东西都不应妨碍我沿着这条路走下去。——康德 72、家庭成为快乐的种子在外也不致成为障碍物但在旅行之际却是夜间的伴侣。——西塞罗 73、坚持意志伟大的事业需要始终不渝的精神。——伏尔泰 74、路漫漫其修道远,吾将上下而求索。——屈原 75、内外相应,言行相称。——韩非
信息系统安全等级保护讲义-PPT精品文档
互联网安全环境
网络安全是互联网应用发展的基础保障。2019年上 半年,遇到过病毒或木马攻击的网民达到2.17 亿。
发展史
1994年,国务院颁布《计算机信息系统安全保
护条例》(147号令)
第九条 计算机信息系统实行安全等级保护。安全等 级的划分标准和安全等级保护的具体办法,由公安 部会同有关部门制定。
发展史
2019年,全国信息安全保障工作会议:专门将
信息安全等级保护工作作为信息安全保障工作 的一项重要任务来部署。 2019年9月,公安部、保密局、密码管理局、 国信办联合出台了《关于信息安全等级保护工 作的实施意见》(公通字[2019]66号):明确 了信息安全等级保护制度的原则和基本内容, 以及信息安全等级保护工作的职责分工、工作 实施的要求等。 2019年,公安部、保密局、密码管理局、国信 办联合制定了《信息安全等级保护管理办法》, 标志着我国等级保护制度的初步形成
内容
安全等级保护概述
安全等级保护定级原理 安全等级保护定级方法
安全等级保护定级管理
安全等级保护技术和管理要求
定级准则
坚持自主定级、自主保护的原则。 应当根据信息系统在国家安全、经济建设、社
会生活中的重要程度,信息系统遭到破坏后对 国家安全、社会秩序和公共利益以及公民、法 人和其他组织的合法权益(受侵害客体)的危 害程度等因素确定。
定级范围
运营商和服务提供商 电信、广电行业的公用通信网、广播电视传输网等基础 信息网络,经营性公众互联网信息服务单位、互联网接 入服务单位、数据中心等单位的重要信息系统。 重要行业 铁路、银行、海关、税务、民航、电力、证券、保险、 外交、科技、发展改革、国防科技、公安、人事劳动和 社会保障、财政、审计、商务、水利、国土资源、能源、 交通、文化、教育、统计、工商行政管理、邮政等行业、 部门的生产、调度、管理、办公等重要信息系统。 重要机关 市(地)级以上党政机关的重要网站和办公信息系统。 涉密系统 涉及国家秘密的信息系统。