1等级保护工作主要内容
信息安全等级保护制度的主要内容和工作要求概述
4、重点行业可以按照《基本要求》等国家标准, 结合行业特点和特殊安全需求,在公安部等有 关部门指导下,制定行业标准规范或细则。
三、等级保护工作的具体内容和要求
(一)信息安全等级保护定级工作 信息系统定级原则:“自主定级、专家评审、
三、等级保护工作的具体内容和要求
◆第三级,信息系统受到破坏后,会对社会秩序和公共
利益造成严重损害,或者对国家安全造损害。 ◆第四级,信息系统受到破坏后,会对社会秩序和公共
利益造成特别严重损害,或者对国家安全造成严重损 害。 ◆第五级,信息系统受到破坏后,会对国家安全造成特 别严重损害。
三、等级保护工作的具体内容和要求
一、等级保护制度的主要内容
2、《国家信息化领导小组关于加强信息安全 保障工作的意见》(中办发[2003]27号)规 定:要重点保护基础信息网络和关系国家 安全、经济命脉、社会稳定等方面的重要 信息系统,抓紧建立信息安全等级保护制 度,制定信息安全等级保护的管理办法和 技术指南。
一、等级保护制度的主要内容
二、等级保护政策体系和标准体系
(一)信息安全等级保护政策体系 近几年,公安部根据国务院147号令的授
权,会同国家保密局、国家密码管理局、发 改委、原国务院信息办出台了一些文件,公 安部和省厅对有些具体工作出台了一些指导 意见和规范,构成了信息安全等级保护政策 体系。 汇集成《信息安全等级保护工作汇 编》供有关单位、部门使用。
我国信息系统安全等级保护工作环节
我国信息系统安全等级保护工作环节
信息系统安全等级保护是指根据信息系统的重要性和风险等级,对其进行分类和分级管理,采取相应的安全措施,确保信息系统的安全性、可靠性和可用性。我国信息系统安全等级保护工作按照一定的流程和环节进行,下面将从需求分析、安全评估、安全设计、安全建设、安全监控和安全评估验证六个环节对我国信息系统安全等级保护工作进行详细介绍。
一、需求分析
需求分析是信息系统安全等级保护工作的第一环节,主要目的是明确信息系统的安全需求和等级划分。在这一环节中,需要对信息系统的功能、数据、用户和业务流程进行全面分析和调研,确定信息系统的安全等级,并明确安全保护的目标和要求。同时,还需要对相关法律法规和政策要求进行了解和分析,为后续的安全评估和安全设计提供依据。
二、安全评估
安全评估是信息系统安全等级保护工作的核心环节,主要通过对信息系统的安全性进行全面评估和分析,确定其安全等级和存在的安全风险。在这一环节中,需要对信息系统的各个方面进行评估,包括系统的安全功能、安全策略、安全控制和安全性能等。同时,还需要对系统的物理环境、网络环境和人员管理等方面进行评估,确
保系统在各个环节都能达到相应的安全标准。
三、安全设计
安全设计是信息系统安全等级保护工作的重要环节,主要目的是根据安全评估的结果,设计出符合信息系统安全等级要求的安全机制和安全措施。在这一环节中,需要对系统的安全功能和安全策略进行详细设计,并确定相应的安全控制措施和安全性能指标。同时,还需要对系统的物理环境和网络环境进行设计,确保系统的安全性能和可用性。
等保测评各阶段工作
等保测评各阶段工作
一、信息安全等级保护的各个环节
一、基本环节
(一)组织开展调查摸底
(二)合理确定保护等级
(三)开展安全建设整改
(四)组织系统安全测评
(五)依法履行备案手续
(六)加强日常测评自查
(七)加强安全监督检查
二、主要环节
定级-安全建设-安全测评-备案
二、定级
一、等级划分
计算机信息系统安全保护等级根据计算机信息系统在国家安全、经济建设、社会生活中的重要程度,计算机信息系统受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定,分为五级: 第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
二、定级程序
信息系统运营、使用单位应当依据《信息系统安全等级保护定级指南》确定信息系统的安全保护等级。有主管部门的,应当经主管部门审核批准。
跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。
对拟确定为第四级以上信息系统的,运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。
三、定级注意事项
一级信息系统:适用于乡镇所属信息系统、县级某些单位中不重要的信息系统。小型个体、私营企业中的信息系统。中小学中的信息系统。
等保工作内容
信息系统安全等级保护测评包括:
1.系统定级:先确定定级对象;
2.系统备案:到公安机关进行备案;
3.安全建设整改:分管理整改和技术整改;
4.等级测评:包括安全控制测评和系统整体测评;
5.安全检查:企业要接受公安机关不定期的监督和检查。
信息安全等级保护制度的主要内容和工作要求
◆第五级,信息系统受到破坏后,会对国家安全造成特
别严重损害。
三、等级保护工作的具体内容和要求
实际操作中参考确定信息系统等级: ◆第一级信息系统:适用于小型私营、个体企业、 中小学、乡镇所属信息系统、县级单位中一般的 信息系统。 ◆第二级信息系统:适用于县级某些单位中的重要 信息系统;地市级以上国家机关、企事业单位内 部一般的信息系统。例如非涉及工作秘密、商业
评关 估于 工加 作强 的国 通家 知电 (子 发政 改务 高工 技程 建 设 项 目 信 号息 )安 全 风 险
等《 级关 测于 评推 工动 作信 的息 通安 知全 》等 (级 公保 信护 安测 评 体 系 建 设 号和 )开 展
安信 息 系 统 安 全 )等 级 测 评 报 告 模 版 ( 试 行 ) ( 公 信 [2009]1487
他组织的合法权益造成损害,但不损害国家安全、社会 秩序和公共利益。 ◆第二级,信息系统受到破坏后,会对公民、法人和其他 组织的合法权益产生严重损害,或者对社会秩序和公共 利益造成损害,但不损害国家安全。
三、等级保护工作的具体内容和要求
◆第三级,信息系统受到破坏后,会对社会秩序和公共
利益造成严重损害,或者对国家安全造损害。 ◆第四级,信息系统受到破坏后,会对社会秩序和公共 利益造成特别严重损害,或者对国家安全造成严重损 害。
一、等级保护制度的主要内容
信息安全等级保护工作总结(4篇)
信息安全等级保护工作总结
信息安全是当前社会发展的重要组成部分,信息安全等级保护工作是保障国家信息安全的重要手段。在信息时代,各种安全威胁和风险不断增加,要保护信息安全,必须根据国家信息系统的安全需求,实施信息安全等级保护工作。
信息安全等级保护工作是指以国家信息系统安全等级保护标准为指导,根据信息系统的敏感程度和安全风险,建立信息系统安全等级保护体系,通过安全保护技术和管理措施来保障信息系统的安全。
信息安全等级保护工作包含以下几个方面:
1. 等级划分:根据信息系统的重要程度和安全需求,将信息系统划分为不同的等级。等级划分是信息安全等级保护工作的基础,不同等级的信息系统有不同的保护要求和安全措施。
2. 风险评估:对信息系统进行风险评估,确定系统存在的安全风险和威胁。风险评估是信息安全等级保护工作的重要环节,只有了解系统的安全风险,才能有针对性地采取安全保护措施。
3. 安全控制:根据信息系统的安全需求,实施相应的安全控制措施。安全控制措施包括技术控制和管理控制两大方面,既要采用先进的安全技术手段,又要建立健全的安全管理制度。
4. 安全审核:对信息系统的安全性能进行审核和评估。安全审核是信息安全等级保护工作的周期性任务,通过对系统安全性能的审核,发现安全问题,及时进行改进和完善。
信息安全等级保护工作总结(二)
1. 明确安全责任:建立明确的信息安全责任体系,明确各级管理人员和各岗位人员的信息安全责任,形成安全责任到人的工作机制。
2. 加强安全培训:加强信息安全培训和教育,提高员工的信息安全意识和技能水平,增强员工对信息安全的重视和保护意识。
等级保护工作流程
等级保护工作流程
等级保护,是指对不同级别的信息进行不同程度的保护,确保信息的机密性、完整性
和可用性。等级保护工作流程是指在保障信息传输安全的过程中,按照一定的规定和流程,对信息进行分类、审核、授权、加密、传输、存储等一系列工作的全过程。本文将详细介
绍等级保护工作流程的整体流程以及每个环节的详细描述。
一、等级保护工作流程的整体流程
等级保护工作流程的整体流程包括四个主要环节:审批前准备、等级确认、保护方案
设计及执行、监督和评估,下面将分别进行详细介绍。
1. 审批前准备
在等级保护工作之前,需要对需要保护的信息进行分类,确定信息的保密级别、机密
性质和保密期限,以及需要保密的具体内容等信息。还需要确定信息的安全保护措施是否
符合国家和行业的规定。在此基础上,编制安全保密管理规定和工作程序,并确定相应的
组织机构和人员职责。
2. 等级确认
等级确认是指根据信息的重要程度和机密性质,确定信息的安全等级和保护要求。在
等级确认的过程中,需要进行系统性和科学性的评估和筛选,确保信息的等级保护工作符
合国家和行业的相关要求。
3. 保护方案设计及执行
在进行保护方案设计及执行的过程中,需要确定信息安全保护措施的具体实施方案,
包括保护技术、保密设备和保密人员等方面。针对不同级别的信息,采取相应的保密措施,包括加密、访问控制、审计跟踪等方面。保护方案设计和执行需要严格按照国家和行业的
规定和标准,确保信息安全性、完整性和可用性。
4. 监督和评估
监督和评估是等级保护工作的重要环节,其目的是对等级保护工作的效果进行检查和
评估,并发现和解决安全保护工作中的问题和隐患。需要定期对等级保护工作进行评估和
国家信息安全等级保护制度的主要内容和要求
三、等级保护工作的具体内容和要求
(一)信息安全等级保护定级工作 信息系统定级原则:“自主定级、
公 专家评审、主管部门审批、公安机关审 核”。具体可按照《关于开展全国重要信
安 息系统安全等级保护定级工作的通知》 (公通字[2007]861号)要求执行。
部 定级工作流程:确定定级对象、确 定信息系统安全保护等级、组织专家评审、 主管部门审批、公安机关审核。
安 级、备案、安全建设整改、等级测评、自 查等工作,并接受公安机关等部门的监督、
部 指导。有主管部门的,主管部门要督促、 检查、指导本行业、本部门信息系统运营 使用单位开展信息安全等级保护工作。
一、等级保护制度的主要内容
安全服务机构
公
信息安全企业,信息系统安全集成商、
安 等级测评机构等安全服务机构,依据国 家有关管理规定和技术标准,开展技术
负责信息安全等级保护工作组织领导,
安 制定本地区、本行业开展信息安全等级保
护的工作部署和实施方案,并督促有关单
部 位落实,研究、协调、解决等级保护工作
中的重要工作事项,及时通报或报告等级 保护实施工作的相关情况。
一、等级保护制度的主要内容
信息安全职能部门
公
公安机关负责信息安全等级保护工作
的监督、检查、指导,是等级保护工作的
部 信息安全人才培养; 保证信息安全资金; 信息安全工作的领导,信息安全责任制。
网络安全等级保护工作内容与基本要求培训
检查
5.向当地公安机关网监部门提交 测评报告,配合完成对网络安全 等级保护实施情况的检查。
测评
4.委托具备测评资质的测评机 构对信息系统进行等级测评 ,形成正式的测评报告。
网络安全等级保护基本要求
技术要求
网络安全等级保护基本要求
管理要求
Baidu Nhomakorabea
物理安全 网络安全 主机安全 应用安全 数据安全
安全管理机构 安全管理制度 人员安全管理 系统运维管理 系统建设管理
控制点 身份鉴别 安全标记 访问控制 可信路径 安全审计 剩余信息保护 通信完整性(S) 通信保密性(S) 抗抵赖 软件容错(A) 资源控制 合计
一级 * *
*
* 4
二级 *
*
*
* *
* * 7
三级 *
*
* * * * * * * 9
四级 * * * * * * * * * * * 11
控制点 数据完整性 数据保密性 备份和恢复 合计
测评对象确定
根据已经了解到的被测系统信息,分析整个 被测系统及其涉及的业务应用系统,确定出 本次测评的测评对象。
测评指标确定
根据已经了解到的被测系统定级结果,确定出 本次测评的测评指标。
测评内容确定 确定现场测评的具体实施内容。
2.方案编制活动
测评指导书开发
测评指导书是具体指导测评人员如何进行测 评活动的文件,是现场测评的工具、方法和 操作步骤等的详细描述,编制与实际测评相 关的测评指导书。
信息安全等级保护工作制度
信息安全等级保护工作制度
为加强本单位信息安全等级保护工作,规范信息安全等级保护行为,制定本制度。
二、适用范围
本制度适用于本单位所有工作人员、访问者等。
三、信息安全等级保护分类
本单位将信息安全等级分为四级,即特级、一级、二级、三级。
四、信息安全等级保护管理
1. 本单位对各级信息系统进行分类管理,明确安全等级及适用范围。
2. 确定信息系统管理员,负责信息系统的管理、维护和安全保障工作。
3. 信息系统管理员应定期进行漏洞扫描,并及时排查、处理漏洞。
4. 本单位应定期组织信息安全演练,提高工作人员信息安全意识和技能水平。
5. 本单位应加强对个人信息及敏感信息的保护,防止泄露。
五、信息安全等级保护措施
1. 对特级信息系统和一级信息系统应采取物理隔离措施。
2. 本单位应建立完善的安全审计机制,对各级信息系统进行审计。
3. 对重要信息系统应建立备份机制,及时备份数据,保证数据的完整性和可用性。
4. 对所有信息系统应进行安全加固,设置防火墙、入侵检测系统等安全设备,防范网络攻击。
六、信息安全等级保护责任
1. 本单位领导应加强对信息安全等级保护的重视,全面贯彻信息安全等级保护工作。
2. 所有工作人员应严格遵守本制度,防范信息泄露和攻击。
3. 信息系统管理员应认真履行管理职责,保障系统的安全性和稳定性。
4. 违反本制度的行为,将受到相应的纪律处分。
七、附则
1. 本制度自颁布之日起施行,如有修订,经本单位领导同意后执行。
2. 本制度解释权属于本单位。
信息安全等级保护工作方案
信息安全等级保护工作方案
一、背景与目标:
随着信息技术的快速发展,信息安全问题日益突显。为了保护信息资产的安全,提高信息系统的可用性、完整性和保密性,确保信息的准确性、真实性、及时性和完备性,本方案旨在建立信息安全等级保护工作机制,为组织提供全方位的信息安全保护。
二、工作原则:
1. 法律合规性:遵守相关法律法规,确保信息处理活动的合法性和合规性。
2. 需求驱动性:根据实际需求确定信息安全等级保护工作重点。
3. 细化管理:对信息资产进行分类,分级保护。
4. 风险导向:以风险评估为基础,制定相应的安全响应措施。
5. 全员参与:建立信息安全意识,促使全体员工参与信息安全保护工作。
6. 持续改进:根据实际情况,不断完善、优化信息安全等级保护工作机制。
三、工作内容:
1. 信息资产清单:制定信息资产清单,明确各项重要信息资产的价值、所属部门、责任人等信息。
2. 信息分类与分级保护:根据信息的敏感程度和重要程度,对信息进行分类和分级,制定不同级别的保护措施。
3. 风险评估与管控:通过风险评估,识别和评估信息安全风险,并采取相应的风险管控措施。
4. 安全策略与规范:制定信息安全策略和规范,确保人员、设备和网络的安全性。
5. 权限控制与访问控制:建立和完善权限管理与访问控制机制,限制对敏感数据和系统的访问权限。
6. 加密与解密:采用加密技术对敏感数据进行保护,确保数据在传输和存储过程中的安全性。
7. 防火墙与入侵检测:使用防火墙等安全设备来保障网络安全,及时发现并阻止入侵行为。
8. 安全审计与监控:建立安全审计与监控机制,及时发现安全事件并采取相应的处理措施。
信息系统安全保护等级的确定
3、信息系统安全保护等级的确定
不同危害后果的三种危害程度描述如下: 一般损害:工作职能受到局部影响,业务能力有所降低但不 影响主要功能的执行,出现较轻的法律问题,较低的资产损 失,有限的社会不良影响,对其他组织和个人造成较低损害。
3、信息系统安全保护等级的确定
Baidu Nhomakorabea
严重损害:工作职能受到严重影响,业务能力显著下降且严重 影响主要功能执行,出现较严重的法律问题,较高的资产损 失,较大范围的社会不良影响,对其他组织和个人造成较严 重损害。
3、信息系统安全保护等级的确定
作为定级对象的信息系统的安全保护等级由业务信息安全 等级和系统服务安全等级的较高者决定。定级对象等级确定 后,起草《信息系统安全保护等级定级报告》。
3、信息系统安全保护等级的确定
定级工作步骤 第三步:信息系统等级评审 在信息系统安全保护等级确定过程中,可以聘请专家进 行咨询评审,并出具定级评审意见 对拟确定为第四级以上信息系统的,运营、使用单位或 者主管部门应当邀请国家信息安全保护等级专家评审委员 会评审,出具评审意见。
确定作为定级对象的信息系统受到破坏后所侵害的客体时, 应首先判断是否侵害国家安全,然后判断是否侵害社会秩序 或公众利益,最后判断是否侵害公民、法人和其他组织的合 法权益。
3、信息系统安全保护等级的确定
3.在客观方面,对客体的侵害外在表现为对定级对象的破坏, 其危害方式表现为对信息安全的破坏和对信息系统服务的破 坏。
等级保护测评工作有哪些内容?内容都是什么?
等级保护测评⼯作有哪些内容?内容都是什么?
等级保护测评⼯作内容有哪些?时代新威等级保护组前⾔⽹络安全等级保护是当今发达国家保
护关键信息基础设施、保障信息安全的通⾏做法,也是我国多年来
⽹络安全⼯作实践和经验的总结。开展⽹络安全等级保护⼯作的主要⽬的就是要保护国家关键
信息基础设施安全、维护国家安全,这是⼀项事关国家
安全、社会稳定、国家利益的重要决策部署。等级保护⼯作在⼤部分⼈看来都是⽐较繁琐的,
流程多,持续时间长,企业⼯作⼈员承压不⼩,但事实
情况真的这样的吗?等级保护⼀般主要分哪⼏个阶段,主要从哪些⽅⾯进⾏?完成等保测评,
企业将取得怎样的收获?时代新威希望本⽂能解开你⼼
中的疑惑。?信息系统安全等级保护测评⼯作是指测评机构依据国家信息安全等级保护制度规
定,受有关单位委托,按照有关管理规范和技术标准,
运⽤科学的⼿段和⽅法,对处理特定应⽤的信息系统,采⽤安全技术测评和安全管理测评⽅
式,对保护状况进⾏检测评估,判定受测系统的技术和管
理级别与所定安全等级要求的符合程度,基于符合程度给出是否满⾜所定安全等级的结论,针
对安全不符合项提出安全整改建议。⽬前信息安全等级
保护主要分为五级,五级是最⾼级别,⽬前⼤部分申请单位申请三级⽐较常见。⼀般主要包括
以下流程:等级保护测评主要测以下⼗个层⾯:安全技
术测评:安全管理测评:技术层⾯具体的对象是:?1、机房,本测评单位将对信息系统运营使⽤单
位重要信息系统的机房、配电间、消防间等相关
物理环境进⾏测评,分析其中的问题以及不符合要求的地⽅。?2、业务应⽤软件,本测评单位
简述等级保护工作流程。
简述等级保护工作流程。
等级保护是指对特定资源或信息进行分类,并根据其敏感程度采取相应的保护措施,以防止未经授权的访问和泄露。等级保护工作是信息安全管理中的重要环节,其目的是确保资源和信息的安全性和完整性。本文将对等级保护工作的流程进行简述。
等级保护工作的流程主要包括确定等级、制定保护措施、实施保护措施、监控和评估等几个阶段。
在确定等级阶段,需要对资源或信息进行分类和分级。根据资源或信息的敏感程度、重要性、保密性等因素,将其划分为不同的等级。常见的等级包括机密、秘密、内部、公开等等。等级的确定应根据实际需求,结合安全评估和风险分析等方法进行。
接下来,在制定保护措施阶段,需要根据资源或信息的等级,制定相应的保护措施。保护措施包括技术措施、管理措施和物理措施等方面。技术措施主要包括访问控制、数据加密、安全审计等;管理措施主要包括权限管理、人员培训、安全策略制定等;物理措施主要包括门禁系统、监控设备、安全防护设施等。制定保护措施时,应考虑资源或信息的特点和风险,采取适当的措施进行保护。
然后,在实施保护措施阶段,需要将制定的保护措施付诸实施。实施保护措施包括技术实施和管理实施两方面。技术实施主要指对系统、网络和应用进行相应的配置和设置,确保保护措施的有效实施;
管理实施主要指对人员进行培训和指导,确保保护措施的落地执行。实施保护措施期间,需要对资源或信息的安全性进行监控和管理,及时发现和处理安全事件和漏洞。
在监控和评估阶段,需要对等级保护工作进行定期的监控和评估。监控主要包括对系统和网络的日志记录、审计跟踪等,及时发现和处理安全事件;评估主要包括对保护措施的有效性和合规性进行评估,发现问题并及时改进。监控和评估的结果可以为下一轮的等级保护工作提供参考。
等保测评工作内容
等保测评工作内容
等保测评工作内容
随着信息化建设的不断深入,网络安全问题成为企业和机构面临的重
要挑战。为确保信息系统的安全性和稳定性,国家出台了《信息安全
等级保护管理办法》(以下简称《办法》),并实施了等保测评制度。本文将从等保测评的定义、工作内容、流程以及注意事项等方面进行
详细介绍。
一、等保测评的定义
等保测评是指对信息系统进行安全性评估,根据《办法》中规定的五
个等级,对信息系统进行分级,并提出相应的安全防护措施。等保测
评是国家对各类涉密信息系统实行安全管理和技术防护措施的必要手段,也是企业和机构自身加强网络安全建设的重要途径。
二、等保测评工作内容
1.准备工作
在进行等保测评之前,需要进行一系列准备工作。首先需要明确被测
评信息系统所处的环境和范围,确定被测评单位及其主要负责人,并组建专门的测评小组。同时还需向被测单位发出通知,并约定具体时间和地点。
2.资料收集
测评小组需要收集被测评信息系统的相关资料,包括但不限于:系统架构图、网络拓扑图、安全策略、安全管理制度等。同时还需要对被测单位进行现场调查,了解其实际运行情况。
3.安全性评估
根据《办法》中规定的五个等级,对被测评信息系统进行分级,并提出相应的安全防护措施。同时还需对系统的各项功能进行测试,包括但不限于:身份认证、访问控制、数据传输加密等。
4.报告编写
根据测评结果,编写详细的报告,包括但不限于:被测评信息系统的分级结果、存在的安全隐患及建议改进措施等。同时还需向被测单位反馈测评结果,并协助其制定相关安全防护计划。
三、等保测评流程
1.准备工作阶段
国家信息安全等级保护制度主要内容和要求
7、《关于加强国家电子政务工程建设项目 信息安全风险评估工作的通知》(发改高 技[2008]2071号)
8、《关于推动信息安全等级保护测评体系 建设和开展等级测评工作的通知》(公信
公 安[2010]303号)。 9、《关于印发〈信息系统安全等级测评报 告模版(试行)〉的通知》(公信安
查、指导信息安全等级保护工作”。
目录
一、信息安全等级保护制度的主要
公
内容
二、信息安全等级保护政策体系和
安
标准体系
部 三、信息安全等级保护工作的具体
内容和要求
国家信息安全保障工作主要内容
信息安全等级保护制度; 信息保护和网络信任体系建设;
公 信息安全监控体系; 信息安全应急处理;
安 信息安全技术研究,信息安全产业发展; 信息安全法制建设和标准化建设;
公
信息安全企业,信息系统安全集成商、
安 等级测评机构等安全服务机构,依据国 家有关管理规定和技术标准,开展技术
部 支持、服务等工作,并接受监管部门的
监督管理。
一、等级保护制度的主要内容
专家组
公 宣传等级保护相关政策、标准; 指 导备案单位研究拟定贯彻实施意见和建设 规划、技术标准的行业应用;参与定级和
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
完整性 重要性 安全性
共享性
代表性
29 29
方案编制
30 30
测评方法
方法种类
访谈、检查、测试
目的
理解、澄清或取得证据的过程
适用对象
3-31
访谈
访谈的对象是配合人员。 典型的访谈人员包括信息安全主管、信息 系统安全管理员、系统管理员、网络管理
全建设整改、信息安全等级保护宣传教育等工作的技术支持。
不得从事下列活动:
(一)泄露知悉的被测评单位及被测评信息系统的国家秘密和工
作秘密;
(二)故意隐瞒测评过程中发现的安全问题,或者在测评过程中 弄虚作假,未如实出具等级测评报告; (三)未按规定格式出具等级测评报告;
13
(四)信息安全产品开发、销售和信息系统安全集成;
测评 准备
方案 编制
现场 测评
报告 编制
基本情况调研 结果数据分析 测评工具准备
网络安全测评 管理安全测评 物理安全测评 应用安全测评 主机安全测评 58
报告编制
单项符合性判定 整体测评 安全问题分析 形成测评结论 提出整改建议
59 59
报告编制--单项符合性判定
60 60
整体测评
安全控制点间 层面间 区域间
61
安全控制点间
同一层面内不同安全控制之间存在的功能增 强(补充)或削弱等关联作用。
物理访问控制与防盗窃和防破坏 身份鉴别与访问控制 身份鉴别与安全审计
62
层面间
主要考虑同一区域内的不同层面之间存在的功 能增强、补充和削弱等关联作用。
测评 准备
方案 编制
现场 测评
报告 编制
基本情况调研 结果数据分析 测评工具准备
网络安全测评 管理安全测评 物理安全测评 应用安全测评 主机安全测评 27
方案编制
抽样选择测评对象 根据定级情况选择测评指标
确定测评方法
编制现场工作计划
28 28
方案编制
46
单元测评-物理安全
支持信息系统运行的设施环境和构成信息系统的硬 件设备和介质
测评对象包括:
机房(含各类基础设备)
存储介质
安全管理人员/文档管理员 文档(制度类、规程类、记录/证据类等)
47
单元测评-系统层面
系统层面主要是指主机系统,构成组件有服务器、 终端/工作站等计算机设备,包括他们的操作系统、 数据库系统及其相关环境等 操作系统, 如Windows / Linux系列 / 类UNIX系列 /
网络互联设备 网络安全设备 网络管理平台
相应设计/验收文档,设备的运行日志等
49
单元测评-应用系统
测评对象包括 业务应用系统 委托第三方定制开发业务应用系统
50
单元测评-数据层面
数据层面构成组件主要包括信息系统安全功能数据和 用户数据。对于传输和处理过程中的数据,一般有机 密性和完整性的安全要求,而对于存储中的数据,还 需要有备份恢复的安全要求。
IBM Z/os /Unisys MCP等
数据库管理系统,如DB2 / Oracle / Sybase / MS SQL Server等 中间件平台,如Weblogic / Tuxedo / Websphere等
48
单元测评-网络层面
网络层面构成组件负责支撑信息系统进行网络互联, 为信息系统各个构成组件进行安全通信传输,一般 包括网络设备、连接线路以及它们构成的网络拓扑 等。 测评对象:
测评 准备
方案 编制
现场 测评
报告 编制
基本情况调研 结果数据分析 测评工具准备
网络安全测评 管理安全测评 物理安全测评 应用安全测评 主机安全测评 19
测评流程
单项符合性判定 选择测评对象 选择测评指标 确定测评方法 编制测评计划 整体测评 安全问题分析 形成测评结论 提出整改建议
测评对象:
应用系统 网络设备、安全设备 主机、数据库管理系统
51
单元测评-管理
人员 安全主管/主机、应用、网络等安全管理员 机房管理员/文档管理员等 文档
管理文档(策略、制度、规程)
记录类(会议记录、运维记录) 其它类(机房验收证明等)
52
安全管理制度 文档体系
模拟攻击工具 渗透工具
36
编制测评方案—结构
37
编制测评方案—概述
38
编制测评方案—被测信息系统情况
39
编制测评方案—被测信息系统情况
40
编制测评方案—测评对象
41
编制测评方案—漏洞扫描
42
编制测评工作计划
43
编制测评工作计划
44
测评流程
单项符合性判定 选择测评对象 选择测评指标 确定测评方法 编制测评计划 整体测评 安全问题分析 形成测评结论 提出整改建议
测评 准备
方案 编制
现场 测评
报告 编制
基本情况调研 结果数据分析 测评工具准备
网络安全测评 管理安全测评 物理安全测评 应用安全测评 主机安全测评 45
测评内容
等级测评包括:
单元测评 整体测评
单元测试
以安全控制为基本工作单位组织描述 测评指标、测评实施和结果判定。
测评 准备
方案 编制
现场 测评
报告 编制
基本情况调研 结果数据分析 测评工具准备
网络安全测评 管理安全测评 物理安全测评 应用安全测评 主机安全测评 20
测评准备阶段
基本情况调研结构
21 21
测评准备阶段
基本情况调研需要获得如下信息: 被测单位、被测系统情况 拓扑图、网络设备、安全设备相关信息 管理文档、人员相关信息 机房相关信息 应用系统相关信息 主机设备相关信息
主要工具:
核查表
34
测试
访谈 检查 测试 是指测评人员使用预定的方法/工具使测 评对象(各类设备或安全配置)产生特定 的结果,将运行结果与预期的结果进行比
35
对的过程。
测试
功能/性能测试、渗透测试等 测试对象包括机制和设备等 测试一般需要借助特定工具
扫描检测工具
安全 策略
环 设 网 系 运 … 境 备 络 统 行
策略
制度
出 入 登 记
介 质 使 用
资 产 登 记
漏 洞 扫 描
口 令 更 换
版 本 升 级
文 档 管 理
…
操作 规程
相应表格 相应操作记录
53
记录
现场测评—现场测评记录表
网络安全现场测评记录表 管理安全现场测评记录表 物理安全测评测评记录表 应用安全现场测评记录表 主机安全测评测评记录表
信息系统定期开展等级测评,查找发现信息系统的 安全问题、漏洞和安全隐患并及时整改。
-8-
了解现状 明确整改
国家要求 行业要求
等保
9
②等级测评
等级测评是指,测评机构依据国家信息安全 等级保护制度规定,按照有关管理规范和技术标 准,对非涉及国家秘密的信息系统的安全等级保 护状况进行检测评估的活动。
22 22
测评准备阶段
基本情况调研
23 23
测评准备阶段
基本情况调研
24 24
测评准备阶段
基本情况调研
25 25
测评准备阶段
基本情况调研
26 26
测评流程
单项符合性判定 选择测评对象 选择测评指标 确定测评方法 编制测评计划 整体测评 安全问题分析 形成测评结论 提出整改建议
信息安全等级保护培训
信息系统安全等级保护 测评过程及方法
公安部信息安全等级保护评估中心
1
内容目录
1. 等级测评概述 2. 相关标准 3. 测评实施工作流程
2
几个问题
为什么需要对信息系统进行等级测评? 什么是“等级测评” ?
如何开展等级测评?
3 3
规定步骤
定级
备案
安全建设整改
等级测评
...
15
16
《测评要求》的作用
明确测评内容
单元和整体
单元测评
测评指标,测评实施(方法、步骤)和判定
整体测评
安全控制间、层面间、区域间
测评结论
2-17
内容目录
1. 等级测评概述
2. 相关标准
3. 测评实施工作流程
18
测评流程
单项符合性判定 选择测评对象 选择测评指标 确定测评方法 编制测评计划 整体测评 安全问题分析 形成测评结论 提出整改建议
监督检查
4
规定步骤
从工作环节角度看:
承上启下(定级、备案、建设
整改、等级测评和监督检查)
从驱动力角度看: 内部需求 外部驱动
安全建设整改 等级测评
定级
备案
监督检查
5
外部驱动
信息安全等级保护管理办法(公通字【2007】43号)第十四条
信息系统建设完成后,运营、使用单位或者其主管部门应当选 择符合本办法规定条件的测评机构,依据《信息系统安全等级 保护测评要求》等技术标准,定期对信息系统安全等级状况开
11
测评机构
是指具备本规范的基本条件,经能力评估和审核,由 省级以上信息安全等级保护工作协调(领导)小组办 公室(以下简称为“等保办”)推荐,从事等级测评 工作的机构。
机构职责
省级以上等保办审核 评估中心:技术培训/能力评估 省级以上等保办推荐
12
测评机构
可以从事:等级测评活动以及信息系统安全等级保护定级、安
工验收申请时,应提交非涉密信息系统安全保 护等级备案证明,以及相应的安全等级测评报 告和信息安全风险评估报告等。
-7-
公安部/国资委
关于进一步推进中央企业信息安全等级保护工作 的通知(公通字[2010]70号):各企业要根据企业特
点,从《全国信息安全等级保护测评机构推荐目录》
中择优选择测评机构,对本企业第三级(含)以上
10
等测特点
执行主体:符合条件的测评机构 执行的强制性:管理办法强制周期性执行 执行对象:已经定级的信息系统 测评依据:依据《基本要求》 测评内容:单元测评(技术和管理)和整体测评 测评付出:不同级别的测评力度不同 测评方式:访谈、检查和测试 服务对象:主管部门,运维、使用单位,信息安全监管部门
员、资产管理员等。
工具:管理核查表(checklist)
有目的的(有针对性的)
32
检查
访谈 检查
是指测评人员通过对测评对象(如制度文档、各类设备、 安全配置等)进行观察、查验、分析以帮助测评人员理 解、澄清或取得证据的过程。
测试
33
检查对象
检查对象包括:
文档、各类设备、安全配置、机房、存储 介质等。
物理层面网络层面
物理访问控制/网络设备防护
物理层面和应用层面
物理访问控制/身份鉴别与访问控制
63
区域间
主要考虑互连互通的不同区域之间,重点分 析系统中访问控制路径(如不同功能区域间 的数据流流向和控制方式),是否存在区域 间安全功能的相互补充。
64
安全问题分析
65
物理安全-常见问题
54
现场测评
渗透工作 漏洞扫描工作 现场测评人员安排至少在5个以上,渗透人员根 据单位情况而定。
55
现场测评—网络安全现场记录表
签字页
56
现场测评—网络安全现场记录表
现场记录页
57
测评流程
单项符合性判定 选择测评对象 选择测评指标 确定测评方法 编制测评计划 整体测评 安全问题分析 形成测评结论 提出整改建议
展等级测评。第三级信息系统应当每年至少进行一次等级测评,
第四级信息系统应当每半年至少进行一次等级测评,第五级信 息系统应当依据特殊安全需求进行等级测评。
6
公安部/发改委
关于加强国家电子政务工程建设项目信息 安全风险评估工作的通知(发改高技[2008]
2071号)
:项目建设单位向审批部门提出项目竣
内容目录
1. 等级测评概述 2. 相关标准 3. 测评实施工作流程
14
信息系统安全 等级保护测评要求
源自文库
1 范围 2 规范性引用文件 3 术语和定义 等级 4 概述 5 第一级信息系统单元测评 安全分类 5.1 安全技术测评 5.1.1 物理安全 安全控制点(子类) 单元测评描述 技术/管理
5.2 安全管理测评
6 第二级信息系统单元测评 7 第三级信息系统单元测评 8 第四级信息系统单元测评 9 第五级信息系统单元测评 10 信息系统整体测评 11 等级测评结论 附录A 附录B
...
...
5.1.1.1 物理访问控制 5.1.1.1.1 测评指标 5.1.1.1.2 测评实施 5.1.1.1.3 结果判定