推荐-17、18 信息系统等级保护 公安部信息安全等级保护评估中心 精品
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
保护的能力。 在技术方面,第一级要求设置基本的安全功能,使
信息免遭非授权的泄露和破坏,能保证基本安全的系统 服务。
在安Baidu Nhomakorabea管理方面,第一级要求根据机构自身安全需 求,为信息系统正常运行提供基本的安全管理保障。
5 等级化系统的建设
等级保护第二级 第二级安全的信息系统具备对信息和系统进行比较
完整的系统化的安全保护能力。 在技术方面,第二级要求采用系统化的设计方法,
制; 第五是突出保护重点,国家优先重点保护涉及国计民
生的信息系统,国家基础信息网络和重要信息系统内 分级重点保护三级以上的局域网和子系统安全; 第六是具有整体保护性,在突出重点,兼顾一般的原 则下,着重加强重点、要害部位,由点到面进行保护, 逐步实现信息安全整体保障。
2、建立国家信息安全等级保护机制
实现比较完整的安全保护,并通过安全审计机制,使其 它安全机制间接地相连接,使信息免遭非授权的泄露和 破坏,保证一定安全的系统服务。
在安全管理方面,第二级要求建立必要的信息系统 安全管理制度,对安全管理和执行过程进行计划、管理 和跟踪。根据实际安全需求,明确机构和人员的相应责 任。
5 等级化系统的建设
1、准备阶段 2、试行阶段 3、全面实行阶段
4、 等级化系统的建设
信息系统等级的划分方法(自主评 级)
实施步骤:
业务影响分析、划分子系统 确定子系统边界 确定安全保护等级 子系统间访问关系的模型化 安全风险分析与控制措施调整 确定系统保护安全计划 系统等级和安全计划的批准
5 等级化系统的建设
等级保护第一级 第一级安全的信息系统具备对信息和系统进行基本
2.管理与技术规范:制定符合国情的标准,建立 等级保护体系;
3.实施过程控制:明确落实系统拥有者的安全 责任制,系统拥有者按法律规定和安全等级标准的 要求进行信息系统的建设和管理,并承担应急管理 责任,在信息系统生命周期内进行自管、自查、自 评,建立安全管理体系。安全产品的研发者提供符 合安全等级标准要求的技术产品。
贯彻27号文件 积极推进信息系统等级建设
朱建平
公安部信息安全等级保护评估中心
目录
1 等级保护是国家基本政策 2 建立国家信息安全等级保护机制 3 信息系统安全等级保护制度实施方法 4 等级化系统的建设
1、等级保护是国家基本政策
27号文件进一步明确了我国的基 础信息网络和关系国家安全、经 济命脉、社会稳定等方面的重要 信息系统实行等级保护制度;
国家实行信息安全等级保护,必须紧紧 抓住抓好五个关键环节,形成长效信息安全 等级保护运行机制。国家信息安全等级保护 制度运行机制有以下关键环节构成:
1.法律规范
2.管理与技术规范 3.实施过程控制 4.结果控制 5.监督管理。
2、建立国家信息安全等级保护机制
1.法律规范:国家制定和完善信息安全等级保 护政策、法律规范以及组织实施规则和方法,完善信 息安全保护法律体系;
等级保护第三级 第三级安全的信息系统具备对信息和系统进行基于
安全策略强制的安全保护能力。 在技术方面,第三级要求按照完整的安全策略模型 ,
实施强制性的安全保护,使数据信息免遭非授权的泄露 和破坏,保证较高安全的系统服务。
在安全管理方面,第三级要求建立完整的信息系统 安全管理体系,对安全管理过程进行规范化的定义,并 对过程执行实施监督和检查。根据实际安全需求,建立 安全管理机构,配备专职安全管理人员,落实各级领导 及相关人员的责任 。
3、 信息系统安全等级保护制度实施方法 首先,公安、国家保密、国家密码
管理、技术监督、信息产业等国家有关 信息网络安全的行政主管部门要在国家 信息化领导小组的统一领导下,制定我 国开展信息网络安全等级保护工作的发 展政策,统一制定针对不同安全保护等 级的管理规定和技术标准,对不同信息 网络确定不同安全保护等级和实施不同 的监督管理措施,既包括依法进行行政 监督、检查和指导,也包括依据国家技 术标准进行的技术检查和评估。
第四,信息网络安全状况等级的 技术检测是等级保护的重点。
由国家授权的技术检测机构通过 技术检测来进行评定。技术检测机构 需取得国家主管部门的技术资质和授 权后,方可从事信息网络安全等级保 护的技术检测。
3、 信息系统安全等级保护制度实施方法
计划在五年左右的时间在全 国范围内分三个阶段实施信息安 全等级保护制度:
3、 信息系统安全等级保护制度实施方法
其次,等级保护坚持“谁主 管、谁负责;谁经营、谁负责; 谁建设、谁负责;谁使用、谁负 责。”的原则。
3、 信息系统安全等级保护制度实施方法
第三,等级保护实行“国家 主导;重点单位强制,一般单位 自愿;高保护级别强制,低保护 级别自愿”的监管原则。
3、 信息系统安全等级保护制度实施方法
2、建立国家信息安全等级保护机制
4.结果控制:建立非盈利并能够覆盖全国的系 统安全等级保护的执法检查与评估体系,使用统 一标准和工具开展系统安全等级保护检查评估工 作。
5.监督管理:公安机关依法行政,督促安全等 级保护责任制的落实,以等级保护标准监督、检 查、指导基础信息网络和重要信息系统安全等级 保护建设、管理。对安全等级技术产品实行监管, 对监测评估机构实施监管。政府其他职能部门应 当认真履行职责,依法行政,按职责开展信息安 全等级保护专项制度建设工作,完善信息安全监 督体系。
5 等级化系统的建设
等级保护第四级
第四级安全的信息系统具备对信息和系统进行基于 安全策略强制的整体的安全保护能力。
在技术方面,物理隔离,第四级要求采用结构化设 计方法,按照完整的安全策略模型,实现各层面相结合 的强制性的安全保护,使数据信息免遭非授权的泄露和 破坏,保证高安全的系统服务。
在安全管理方面,第四级要求建立持续改进的信息 系统安全管理体系,在对安全管理过程进行规范化定义, 并对过程执行实施监督和检查的基础上,具有对缺陷自 我发现、纠正和改进的能力。根据实际安全需求,采取 安全隔离措施,限定信息系统规模和应用范围。建立安 全管理机构,配备专职安全管理人员,落实各级领导及 相关人员的责任。
同时要求等级保护工作需要各部 门根据职能分工、协同配合。
1、等级保护是国家基本政策
信息安全等级保护是《中华人民共和国计算机信息系 统安全保护条例》规定的法定保护制度,具有强制性;
第二是以国家制度推进信息和信息系统安全保护责任 的落实;
第三是符合客观实际,具有科学性; 第四是具有自我保护与国家保护相结合的长效保护机
信息免遭非授权的泄露和破坏,能保证基本安全的系统 服务。
在安Baidu Nhomakorabea管理方面,第一级要求根据机构自身安全需 求,为信息系统正常运行提供基本的安全管理保障。
5 等级化系统的建设
等级保护第二级 第二级安全的信息系统具备对信息和系统进行比较
完整的系统化的安全保护能力。 在技术方面,第二级要求采用系统化的设计方法,
制; 第五是突出保护重点,国家优先重点保护涉及国计民
生的信息系统,国家基础信息网络和重要信息系统内 分级重点保护三级以上的局域网和子系统安全; 第六是具有整体保护性,在突出重点,兼顾一般的原 则下,着重加强重点、要害部位,由点到面进行保护, 逐步实现信息安全整体保障。
2、建立国家信息安全等级保护机制
实现比较完整的安全保护,并通过安全审计机制,使其 它安全机制间接地相连接,使信息免遭非授权的泄露和 破坏,保证一定安全的系统服务。
在安全管理方面,第二级要求建立必要的信息系统 安全管理制度,对安全管理和执行过程进行计划、管理 和跟踪。根据实际安全需求,明确机构和人员的相应责 任。
5 等级化系统的建设
1、准备阶段 2、试行阶段 3、全面实行阶段
4、 等级化系统的建设
信息系统等级的划分方法(自主评 级)
实施步骤:
业务影响分析、划分子系统 确定子系统边界 确定安全保护等级 子系统间访问关系的模型化 安全风险分析与控制措施调整 确定系统保护安全计划 系统等级和安全计划的批准
5 等级化系统的建设
等级保护第一级 第一级安全的信息系统具备对信息和系统进行基本
2.管理与技术规范:制定符合国情的标准,建立 等级保护体系;
3.实施过程控制:明确落实系统拥有者的安全 责任制,系统拥有者按法律规定和安全等级标准的 要求进行信息系统的建设和管理,并承担应急管理 责任,在信息系统生命周期内进行自管、自查、自 评,建立安全管理体系。安全产品的研发者提供符 合安全等级标准要求的技术产品。
贯彻27号文件 积极推进信息系统等级建设
朱建平
公安部信息安全等级保护评估中心
目录
1 等级保护是国家基本政策 2 建立国家信息安全等级保护机制 3 信息系统安全等级保护制度实施方法 4 等级化系统的建设
1、等级保护是国家基本政策
27号文件进一步明确了我国的基 础信息网络和关系国家安全、经 济命脉、社会稳定等方面的重要 信息系统实行等级保护制度;
国家实行信息安全等级保护,必须紧紧 抓住抓好五个关键环节,形成长效信息安全 等级保护运行机制。国家信息安全等级保护 制度运行机制有以下关键环节构成:
1.法律规范
2.管理与技术规范 3.实施过程控制 4.结果控制 5.监督管理。
2、建立国家信息安全等级保护机制
1.法律规范:国家制定和完善信息安全等级保 护政策、法律规范以及组织实施规则和方法,完善信 息安全保护法律体系;
等级保护第三级 第三级安全的信息系统具备对信息和系统进行基于
安全策略强制的安全保护能力。 在技术方面,第三级要求按照完整的安全策略模型 ,
实施强制性的安全保护,使数据信息免遭非授权的泄露 和破坏,保证较高安全的系统服务。
在安全管理方面,第三级要求建立完整的信息系统 安全管理体系,对安全管理过程进行规范化的定义,并 对过程执行实施监督和检查。根据实际安全需求,建立 安全管理机构,配备专职安全管理人员,落实各级领导 及相关人员的责任 。
3、 信息系统安全等级保护制度实施方法 首先,公安、国家保密、国家密码
管理、技术监督、信息产业等国家有关 信息网络安全的行政主管部门要在国家 信息化领导小组的统一领导下,制定我 国开展信息网络安全等级保护工作的发 展政策,统一制定针对不同安全保护等 级的管理规定和技术标准,对不同信息 网络确定不同安全保护等级和实施不同 的监督管理措施,既包括依法进行行政 监督、检查和指导,也包括依据国家技 术标准进行的技术检查和评估。
第四,信息网络安全状况等级的 技术检测是等级保护的重点。
由国家授权的技术检测机构通过 技术检测来进行评定。技术检测机构 需取得国家主管部门的技术资质和授 权后,方可从事信息网络安全等级保 护的技术检测。
3、 信息系统安全等级保护制度实施方法
计划在五年左右的时间在全 国范围内分三个阶段实施信息安 全等级保护制度:
3、 信息系统安全等级保护制度实施方法
其次,等级保护坚持“谁主 管、谁负责;谁经营、谁负责; 谁建设、谁负责;谁使用、谁负 责。”的原则。
3、 信息系统安全等级保护制度实施方法
第三,等级保护实行“国家 主导;重点单位强制,一般单位 自愿;高保护级别强制,低保护 级别自愿”的监管原则。
3、 信息系统安全等级保护制度实施方法
2、建立国家信息安全等级保护机制
4.结果控制:建立非盈利并能够覆盖全国的系 统安全等级保护的执法检查与评估体系,使用统 一标准和工具开展系统安全等级保护检查评估工 作。
5.监督管理:公安机关依法行政,督促安全等 级保护责任制的落实,以等级保护标准监督、检 查、指导基础信息网络和重要信息系统安全等级 保护建设、管理。对安全等级技术产品实行监管, 对监测评估机构实施监管。政府其他职能部门应 当认真履行职责,依法行政,按职责开展信息安 全等级保护专项制度建设工作,完善信息安全监 督体系。
5 等级化系统的建设
等级保护第四级
第四级安全的信息系统具备对信息和系统进行基于 安全策略强制的整体的安全保护能力。
在技术方面,物理隔离,第四级要求采用结构化设 计方法,按照完整的安全策略模型,实现各层面相结合 的强制性的安全保护,使数据信息免遭非授权的泄露和 破坏,保证高安全的系统服务。
在安全管理方面,第四级要求建立持续改进的信息 系统安全管理体系,在对安全管理过程进行规范化定义, 并对过程执行实施监督和检查的基础上,具有对缺陷自 我发现、纠正和改进的能力。根据实际安全需求,采取 安全隔离措施,限定信息系统规模和应用范围。建立安 全管理机构,配备专职安全管理人员,落实各级领导及 相关人员的责任。
同时要求等级保护工作需要各部 门根据职能分工、协同配合。
1、等级保护是国家基本政策
信息安全等级保护是《中华人民共和国计算机信息系 统安全保护条例》规定的法定保护制度,具有强制性;
第二是以国家制度推进信息和信息系统安全保护责任 的落实;
第三是符合客观实际,具有科学性; 第四是具有自我保护与国家保护相结合的长效保护机