等级保护基础安全防护技术概览
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
内部资料 请勿外泄
等级保护 基础安全防护技术概览
网神信息技术(北京)股份有限公司 肖 寒 CISP、PMP、北京市安全服务高级工程师
A
1
大纲
A
2
1.1等级保护基本概念-定义
❖ 是指对信息安全实行等级化保护和等级化管 理。
❖ 根据信息系统应用业务重要程度及其实际安 全需求,实行分级、分类、分阶段实施保护 ,保障信息安全和系统安全正常运行,维护 国家利益、公共利益和社会稳定。
电力生产控制系统 银行核心业务系统 电信骨干传输网 铁路客票系统 列车指挥调度系统等。
A
8
1.6等级保护基本概念-规定动作
监督检查
系统定级
等级测评
建设整改
系统备案
定级:明确责任主体、自主定级、专 家审核、上级主管单位审批;
备案:定级系统须在上级主管单位及 属地公安机关备案;
建设整改:根据《基本要求》进行安 全加固与改进;
信息安全技术 终端计算机系统安全等级技术要求
8
GB/T 20269-2006
信息安全技术 信息系统安全管理要求
9
GB/T 20282-2006
信息安全技术 信息系统安全工程管理要求
A
6
1.4等级保护基本概念-安全保护等级
❖ 全国的信息系统(包括网络)按照重要性 和受破坏后的危害性分成五个安全保护等 级
▪ 对信息系统中使用的信息安全产品实行按等 级管理;
▪ 对信息系统中发生的信息安全事件实行分等 级响应、处置。
A
4
1.2等级保护基本概念-政策体系
等级保护政策体系
颁布时间
文件名称
文号
颁布机构
1994年 2月18日 2003年 9月7日
2004年 9月15日 2007年 6月22日
2007年 7月16日
将等级保护从计算机信息系统安全保护的一项制度提 升到国家信息安全保障的一项基本制度。 明确了信息安全等级保护制度的基本内容、流程及工 作要求,明确了信息系统运营使用单位和主管部门、 监管部门在信息安全等级保护工作中的职责、任务。
就定级范围、定级工作主要内容、定级工作要求等事 项进行了通知。
2007年 10月26日 2008年 6月10日
1.9等级保护基本概念-实施步骤-
方案编写
依据《信息安全技术-信息系统安全等级保护基本 要求》
参照《信息安全技术-信息系统等级保护安全设计 技术要求》
引入“安全域”的概念,强化访问控制
安全技术控制策略 安全管理控制策略
第一级系统 安全保护环境
第第第 一一一 级级级 安安安 全全全 计区通 算域信 环边网 境界络
第第第 五五五 级级级 安安安 全全全 计区通 算域信 环边网 境界络
第二级安全管理中心 第三级安全管理中心 第四级安全管理中心 第五级安全管理中心
定级系统互联
安全互联部件 跨定级系统安全管理中心
A
15
1.9等级保护基本概念-实施步骤-
设计策略
1.9等级保护基本概念-实施步骤-
设计策略
“业务+系统”安全=整体安全策略
人员安全管理规定
安全培训教育管理规定 第三人员安全管理规定 等级保护安全管理规范 风险评估管理规范 软件开发管理规定 IT外包管理规定
方针 策略
制度办法
在安全策略的指导下,制定的各项安全管理 和技术制度、办法和准则,用来规范各部门 处室安全管理工作。
制度与 管理办法
流程细则
细化的实施细则、管理技术标准等内容,用 来支撑第二层对应的制度与管理办法的有效 实施。
记录表单
实施细则与流程
记录活动实行以符合等级1,2,和3的文件 要求的客观证据,阐明所取得的结果或 提供完成活动的证据
信息系统安全技术建设
物网 主应数 理络 机用据 安安 安安安 全全 全全全
开展信息系统安全自查和等级测评
A
11
1.9等级保护基本概念-实施步骤-
差距分析
处理数据
传输数据
存储数据
Inter互net联网服务器 互联网区
应用存储服务器 办公终端
应用存储区 物理机房
办公网区
A
12
完整性 保密性 备份和恢复
《中华人民共和国计算机信 息系统安全保护条例》 《国家信息化领导小组关于 加强信息安全保障工作的意 见》
《关于信息安全等级保护工 作的实施意见》 《信息安全等级保护管理办 法》
《关于开展全国重要信息系 统安全等级保护定级工作的 通知》
国务院147号令
中办国办发 [2003]27号
公通字[2004]66 号 公通字[2007]43 号
1.9等级保护基本概念-实施步骤-
建立安全组织
建立安全组织(举例)
信息安全领导小组
信息安全主管(部门)
安安系网数应 全全统络据用 管审管管库系 理计理理管统 员员员员理管
员理 员
A
19
决策、监督 管理 执行
落实信息安全责任制
1.9等级保护基本概念-实施步骤-
完善管理制度
编写安全管理制度
方针策略 信息安全工作的纲领性文件。
2008年 8月6日
A
2009年
《信息安全等级保护备案实 施细则》
《公安机关信息安全等级保 护检查工作规范(试行)》
(公信安 [2007]1360号)
(公信安 [2008]736号)
公安部网络 安全保卫局
公安部网络 安全保卫局
《关于加强国家电子政务工 程建设项目信息安全风险评 估工作的通知》
《关于开展信息系统等级
业务风险控制
业 务
业务安全需求
业务风险 保护策略
应 用
安全功能实现
程序 安全
组 件
应数功 用据能 平库组
台件
支撑安全 功能实现
组件 安全
主 安全 机 软件环境
主机安全
A
网 安全边界 络 安全传输通道
网络安全
17
信息系统 保护策略
整体 保护策略
1.9等级保护基本概念-实施步骤-
实施措施
结合实际,部署实施安全措施
第一级
信息系统受到破坏后,会对公民、法人和其他 组织的合法权益造成损害,但不损害国家安全 、社会秩序和公共利益。
A
7
1.5等级保护基本概念-系统等级分类
系统等级 信息系统类型
示例
二级
地市级以上国家机关、企事 非涉及工作秘密、商业秘密、敏感信息的办公系 业单位内部一般的信息系统。 统和管理系统等。
三级
第五级 第四级 第三级 第二级
信息系统受到破坏后,会对国家安全造成特别 严重损害。
信息系统受到破坏后,会对社会秩序和公共利 益造成特别严重损害,或者对国家安全造成严 重损害。
信息系统受到破坏后,会对社会秩序和公共利 益造成严重损害,或者对国家安全造成损害。
信息系统受到破坏后,会对公民、法人和其他 组织的合法权益产生严重损害,或者对社会秩 序和公共利益造成损害,但不损害国家安全。
第二级系统 安全保护环境
第第第 二二二 级级级 安安安 全全全 计区通 算域信 环边网 境界络
第三级系统 安全保护环境
第第第 三三三 级级级 安安安 全全全 计区通 算域信 环 边/ 网 境界络
第四级系统 安全保护环境
第第第 四四四 级级级 安安安 全全全 计区通 算域信 环边网 境界络
第五级系统 安全保护环境
S1A1G1
S1A2G2,S2A2G2,S2A1G2
S1A3G3,S2A3G3,S3A3G3,S3A2G3,S3A1G3
S1A4G4,S2A4G4,S3A4G4,S4A4G4,S4A3G4,S4A2G4,S4A1G4
S1A5G5,S2A5G5,S3A5G5,S4A5G5,S5A5G5,S5A4G5,S5A3G5,
❖ 保护数据在存储、传输、处理过程中不被泄漏、破坏和免受 未授权的修改的信息安全类要求(简记为S);保护系统连续
正常的运行,免受对系统的未授权修改、破坏而导致系统不 可用的服务保证类要求(简记为A);通用安全保护类要求( 简记为G)。
安全保护等级 第一级 第二级 第三级 第四级 第五级
信息系统基本保护要求的组合
等级测评:邀请具有等级测评资质的 测评机构进行安全等级测评;
监督检查:通过安全检查的方式持续 改进系统安全。
A
9
1.7等级保护基本概念-
系统等级与安全要求对应关系
❖ 不同信息系统的安全保护等级相同,但其内在安全需求可能 会有所不同,业务信息安全和系统服务安全保护等级也可能 不同。 (5个等级,25种组合)
网 络 层
区域 混乱
协议 攻击
信息 泄露
中间 人攻 击
带宽 资源 滥用
非法 接入
非法 外联
计区网 算域络 环边通 境界信
物 理
物理 非法 攻击 进出
火灾
盗窃
断电
层
安全管理 缺乏组织
缺乏流程
人员安全 意识不足
缺乏过程控制
缺乏专业技能
缺乏安全监控
管理不到位
A
13
1.9等级保护基本概念-实施步骤-
方案编写
源自文库身份鉴别
访问控制
安全审计
身份鉴别 安全审计
访问控制 入侵防范
结构安全
访问控制
电力供应
电磁防护
1.9等级保护基本概念-实施步骤-
差距分析
数
据 层
篡改
非法 访问
丢失
泄露
不可 用
应
用 层
SQL 溢出 注入 攻击
数据 重放
身份 冒用
数据 窃取
传输 窃听
主
机 层
弱口 系统
令
漏洞
病毒 入侵
资源 占用
黑客 攻击
信息安全技信术息系统网安络全基保础护安等全级技测术评要过求程指南
7
4
GB/T 20272-2006
信息安全技信术息系统操等作级系保统护安测全评技指术南要求
5
GB/T 20273-2006
信息安全技术 数据库管理系统安全技术要求
6
GB/T 21028-2006
信息安全技术 服务器技术要求
7
GA/T 671-2006
(发改高技
发改委
[2008]2071号) 公安部
国家保密局
(公信安
5
公安部
规定了公安机关受理信息系统运营使用单位信息系统 备案工作的内容、流程、审核等内容
规定了公安机关开展信息安全等级保护检查工作的内 容、程序、方式以及相关法律文书等,使检查工作规 范化、制度化。
明确了项目验收条件:公安机关颁发的信息系统安全 等级保护备案证明、等级测评报告和风险评估报告。
公信安 [2007]861号
国务院
中共中央办 公厅 国务院办公 厅
公安部 国家保密局 国家密码管 理委员会办 公室 (国家密码 管理局) 国务院信息 化工作办公 室
内容及意义
第一次提出信息系统要实行等级保护,并确定了等级 保护的职责单位。 等级保护工作的开展必须分步骤、分阶段、有计划的 实施。明确了信息安全等级保护制度的基本内容。
运行记录
A
20
1.9等级保护基本概念-实施步骤-
完善管理制度
一级
二级
岗位说明书
岗位说明书
安全管理机构
安全管理制度
人员安全 系统建设管理
人员安全管理规定
等级保护安全管理规范 风险评估管理规范 软件开发管理规定 IT外包管理规定
服务商安全管理规定 机房管理制度
运维管理
设备安全管理规定 介质安全管理规定 运行维护安全管理规范 网络安全管理规定 系统安全管理规定 防病毒安全管理规定 密码使用管理制度 变更管理制度 备份与恢复管理规定 安全事件管理制度
❖ 等级保护的核心是对信息系统特别是对业务 应用系统安全分等级、按标准进行建设、管 理和监督。国家对信息安全等级保护工作运 用法律和技术规范逐级加强监管力度。突出 重点,保障重要信息资源和重要信息系统的 安全。
A
3
1.1等级保护基本概念-深入理解
❖ 信息安全等级保护是指:
▪ 对国家秘密信息、法人和其他组织及公民的 专有信息以及公开信息和存储、传输、处理 这些信息的信息系统实行分等级实行安全保 护;
4
GB/T 24856-2009
信息安全技术 信息系统等级保护安全设计技术要求
1
GB/T 20271-2006
信息安全技术 信息系统通用安全技术要求
5
2GB/T 250G5B8/-T202110052-200信6 息安全信技息术安全技信术息系统信等息级系保统护物实理施安指全南技术要求
6
3
GB/T 20270-2006
明确了安全建设整改工作的目标、内容、流程和要求
1.3级保护基本概念-相关标准
序号
标准编号
标准分类
名称
1
GB 17859-1999
信息安全技术 计算机信息系统安全保护等级划分准则
2
GB/T 22240-2008
信息安全技术 信息系统安全保护等级定级指南
3
序G号B/T 22239-标20准08编号 信息安全技标术准分类信息系统安全等级保护基本要求 名称
S5A2G5,S5A1G5
A
10
1.8等级保护基本概念-基本要求
展以 中安 求全 安保 全发
展 发
信息系统安全建设整改工作规划和工作部署 信息系统安全保护现状分析
确定安全策略,制定安全建设整改方案
信息系统安全管理建设
安安 人系系 全全 员统统 管管 安建运 理理 全设维 机制 管管管 构度 理理理
涉及工作秘密、商业秘密、敏感信息的办公系统 和管理系统; 地市级以上国家机关、企业、 跨省或全国联网运行的用于生产、调度、管理、 事业单位内部重要的信息系 指挥、作业、控制等方面的重要信息系统; 统。 中央各部委、省(区、市)门户网站和重要网站; 跨省联接的网络系统等。
四级
国家重要领域、部门中涉及 国计民生、国家利益、国家 安全,影响社会稳定的核心 系统。
等级保护 基础安全防护技术概览
网神信息技术(北京)股份有限公司 肖 寒 CISP、PMP、北京市安全服务高级工程师
A
1
大纲
A
2
1.1等级保护基本概念-定义
❖ 是指对信息安全实行等级化保护和等级化管 理。
❖ 根据信息系统应用业务重要程度及其实际安 全需求,实行分级、分类、分阶段实施保护 ,保障信息安全和系统安全正常运行,维护 国家利益、公共利益和社会稳定。
电力生产控制系统 银行核心业务系统 电信骨干传输网 铁路客票系统 列车指挥调度系统等。
A
8
1.6等级保护基本概念-规定动作
监督检查
系统定级
等级测评
建设整改
系统备案
定级:明确责任主体、自主定级、专 家审核、上级主管单位审批;
备案:定级系统须在上级主管单位及 属地公安机关备案;
建设整改:根据《基本要求》进行安 全加固与改进;
信息安全技术 终端计算机系统安全等级技术要求
8
GB/T 20269-2006
信息安全技术 信息系统安全管理要求
9
GB/T 20282-2006
信息安全技术 信息系统安全工程管理要求
A
6
1.4等级保护基本概念-安全保护等级
❖ 全国的信息系统(包括网络)按照重要性 和受破坏后的危害性分成五个安全保护等 级
▪ 对信息系统中使用的信息安全产品实行按等 级管理;
▪ 对信息系统中发生的信息安全事件实行分等 级响应、处置。
A
4
1.2等级保护基本概念-政策体系
等级保护政策体系
颁布时间
文件名称
文号
颁布机构
1994年 2月18日 2003年 9月7日
2004年 9月15日 2007年 6月22日
2007年 7月16日
将等级保护从计算机信息系统安全保护的一项制度提 升到国家信息安全保障的一项基本制度。 明确了信息安全等级保护制度的基本内容、流程及工 作要求,明确了信息系统运营使用单位和主管部门、 监管部门在信息安全等级保护工作中的职责、任务。
就定级范围、定级工作主要内容、定级工作要求等事 项进行了通知。
2007年 10月26日 2008年 6月10日
1.9等级保护基本概念-实施步骤-
方案编写
依据《信息安全技术-信息系统安全等级保护基本 要求》
参照《信息安全技术-信息系统等级保护安全设计 技术要求》
引入“安全域”的概念,强化访问控制
安全技术控制策略 安全管理控制策略
第一级系统 安全保护环境
第第第 一一一 级级级 安安安 全全全 计区通 算域信 环边网 境界络
第第第 五五五 级级级 安安安 全全全 计区通 算域信 环边网 境界络
第二级安全管理中心 第三级安全管理中心 第四级安全管理中心 第五级安全管理中心
定级系统互联
安全互联部件 跨定级系统安全管理中心
A
15
1.9等级保护基本概念-实施步骤-
设计策略
1.9等级保护基本概念-实施步骤-
设计策略
“业务+系统”安全=整体安全策略
人员安全管理规定
安全培训教育管理规定 第三人员安全管理规定 等级保护安全管理规范 风险评估管理规范 软件开发管理规定 IT外包管理规定
方针 策略
制度办法
在安全策略的指导下,制定的各项安全管理 和技术制度、办法和准则,用来规范各部门 处室安全管理工作。
制度与 管理办法
流程细则
细化的实施细则、管理技术标准等内容,用 来支撑第二层对应的制度与管理办法的有效 实施。
记录表单
实施细则与流程
记录活动实行以符合等级1,2,和3的文件 要求的客观证据,阐明所取得的结果或 提供完成活动的证据
信息系统安全技术建设
物网 主应数 理络 机用据 安安 安安安 全全 全全全
开展信息系统安全自查和等级测评
A
11
1.9等级保护基本概念-实施步骤-
差距分析
处理数据
传输数据
存储数据
Inter互net联网服务器 互联网区
应用存储服务器 办公终端
应用存储区 物理机房
办公网区
A
12
完整性 保密性 备份和恢复
《中华人民共和国计算机信 息系统安全保护条例》 《国家信息化领导小组关于 加强信息安全保障工作的意 见》
《关于信息安全等级保护工 作的实施意见》 《信息安全等级保护管理办 法》
《关于开展全国重要信息系 统安全等级保护定级工作的 通知》
国务院147号令
中办国办发 [2003]27号
公通字[2004]66 号 公通字[2007]43 号
1.9等级保护基本概念-实施步骤-
建立安全组织
建立安全组织(举例)
信息安全领导小组
信息安全主管(部门)
安安系网数应 全全统络据用 管审管管库系 理计理理管统 员员员员理管
员理 员
A
19
决策、监督 管理 执行
落实信息安全责任制
1.9等级保护基本概念-实施步骤-
完善管理制度
编写安全管理制度
方针策略 信息安全工作的纲领性文件。
2008年 8月6日
A
2009年
《信息安全等级保护备案实 施细则》
《公安机关信息安全等级保 护检查工作规范(试行)》
(公信安 [2007]1360号)
(公信安 [2008]736号)
公安部网络 安全保卫局
公安部网络 安全保卫局
《关于加强国家电子政务工 程建设项目信息安全风险评 估工作的通知》
《关于开展信息系统等级
业务风险控制
业 务
业务安全需求
业务风险 保护策略
应 用
安全功能实现
程序 安全
组 件
应数功 用据能 平库组
台件
支撑安全 功能实现
组件 安全
主 安全 机 软件环境
主机安全
A
网 安全边界 络 安全传输通道
网络安全
17
信息系统 保护策略
整体 保护策略
1.9等级保护基本概念-实施步骤-
实施措施
结合实际,部署实施安全措施
第一级
信息系统受到破坏后,会对公民、法人和其他 组织的合法权益造成损害,但不损害国家安全 、社会秩序和公共利益。
A
7
1.5等级保护基本概念-系统等级分类
系统等级 信息系统类型
示例
二级
地市级以上国家机关、企事 非涉及工作秘密、商业秘密、敏感信息的办公系 业单位内部一般的信息系统。 统和管理系统等。
三级
第五级 第四级 第三级 第二级
信息系统受到破坏后,会对国家安全造成特别 严重损害。
信息系统受到破坏后,会对社会秩序和公共利 益造成特别严重损害,或者对国家安全造成严 重损害。
信息系统受到破坏后,会对社会秩序和公共利 益造成严重损害,或者对国家安全造成损害。
信息系统受到破坏后,会对公民、法人和其他 组织的合法权益产生严重损害,或者对社会秩 序和公共利益造成损害,但不损害国家安全。
第二级系统 安全保护环境
第第第 二二二 级级级 安安安 全全全 计区通 算域信 环边网 境界络
第三级系统 安全保护环境
第第第 三三三 级级级 安安安 全全全 计区通 算域信 环 边/ 网 境界络
第四级系统 安全保护环境
第第第 四四四 级级级 安安安 全全全 计区通 算域信 环边网 境界络
第五级系统 安全保护环境
S1A1G1
S1A2G2,S2A2G2,S2A1G2
S1A3G3,S2A3G3,S3A3G3,S3A2G3,S3A1G3
S1A4G4,S2A4G4,S3A4G4,S4A4G4,S4A3G4,S4A2G4,S4A1G4
S1A5G5,S2A5G5,S3A5G5,S4A5G5,S5A5G5,S5A4G5,S5A3G5,
❖ 保护数据在存储、传输、处理过程中不被泄漏、破坏和免受 未授权的修改的信息安全类要求(简记为S);保护系统连续
正常的运行,免受对系统的未授权修改、破坏而导致系统不 可用的服务保证类要求(简记为A);通用安全保护类要求( 简记为G)。
安全保护等级 第一级 第二级 第三级 第四级 第五级
信息系统基本保护要求的组合
等级测评:邀请具有等级测评资质的 测评机构进行安全等级测评;
监督检查:通过安全检查的方式持续 改进系统安全。
A
9
1.7等级保护基本概念-
系统等级与安全要求对应关系
❖ 不同信息系统的安全保护等级相同,但其内在安全需求可能 会有所不同,业务信息安全和系统服务安全保护等级也可能 不同。 (5个等级,25种组合)
网 络 层
区域 混乱
协议 攻击
信息 泄露
中间 人攻 击
带宽 资源 滥用
非法 接入
非法 外联
计区网 算域络 环边通 境界信
物 理
物理 非法 攻击 进出
火灾
盗窃
断电
层
安全管理 缺乏组织
缺乏流程
人员安全 意识不足
缺乏过程控制
缺乏专业技能
缺乏安全监控
管理不到位
A
13
1.9等级保护基本概念-实施步骤-
方案编写
源自文库身份鉴别
访问控制
安全审计
身份鉴别 安全审计
访问控制 入侵防范
结构安全
访问控制
电力供应
电磁防护
1.9等级保护基本概念-实施步骤-
差距分析
数
据 层
篡改
非法 访问
丢失
泄露
不可 用
应
用 层
SQL 溢出 注入 攻击
数据 重放
身份 冒用
数据 窃取
传输 窃听
主
机 层
弱口 系统
令
漏洞
病毒 入侵
资源 占用
黑客 攻击
信息安全技信术息系统网安络全基保础护安等全级技测术评要过求程指南
7
4
GB/T 20272-2006
信息安全技信术息系统操等作级系保统护安测全评技指术南要求
5
GB/T 20273-2006
信息安全技术 数据库管理系统安全技术要求
6
GB/T 21028-2006
信息安全技术 服务器技术要求
7
GA/T 671-2006
(发改高技
发改委
[2008]2071号) 公安部
国家保密局
(公信安
5
公安部
规定了公安机关受理信息系统运营使用单位信息系统 备案工作的内容、流程、审核等内容
规定了公安机关开展信息安全等级保护检查工作的内 容、程序、方式以及相关法律文书等,使检查工作规 范化、制度化。
明确了项目验收条件:公安机关颁发的信息系统安全 等级保护备案证明、等级测评报告和风险评估报告。
公信安 [2007]861号
国务院
中共中央办 公厅 国务院办公 厅
公安部 国家保密局 国家密码管 理委员会办 公室 (国家密码 管理局) 国务院信息 化工作办公 室
内容及意义
第一次提出信息系统要实行等级保护,并确定了等级 保护的职责单位。 等级保护工作的开展必须分步骤、分阶段、有计划的 实施。明确了信息安全等级保护制度的基本内容。
运行记录
A
20
1.9等级保护基本概念-实施步骤-
完善管理制度
一级
二级
岗位说明书
岗位说明书
安全管理机构
安全管理制度
人员安全 系统建设管理
人员安全管理规定
等级保护安全管理规范 风险评估管理规范 软件开发管理规定 IT外包管理规定
服务商安全管理规定 机房管理制度
运维管理
设备安全管理规定 介质安全管理规定 运行维护安全管理规范 网络安全管理规定 系统安全管理规定 防病毒安全管理规定 密码使用管理制度 变更管理制度 备份与恢复管理规定 安全事件管理制度
❖ 等级保护的核心是对信息系统特别是对业务 应用系统安全分等级、按标准进行建设、管 理和监督。国家对信息安全等级保护工作运 用法律和技术规范逐级加强监管力度。突出 重点,保障重要信息资源和重要信息系统的 安全。
A
3
1.1等级保护基本概念-深入理解
❖ 信息安全等级保护是指:
▪ 对国家秘密信息、法人和其他组织及公民的 专有信息以及公开信息和存储、传输、处理 这些信息的信息系统实行分等级实行安全保 护;
4
GB/T 24856-2009
信息安全技术 信息系统等级保护安全设计技术要求
1
GB/T 20271-2006
信息安全技术 信息系统通用安全技术要求
5
2GB/T 250G5B8/-T202110052-200信6 息安全信技息术安全技信术息系统信等息级系保统护物实理施安指全南技术要求
6
3
GB/T 20270-2006
明确了安全建设整改工作的目标、内容、流程和要求
1.3级保护基本概念-相关标准
序号
标准编号
标准分类
名称
1
GB 17859-1999
信息安全技术 计算机信息系统安全保护等级划分准则
2
GB/T 22240-2008
信息安全技术 信息系统安全保护等级定级指南
3
序G号B/T 22239-标20准08编号 信息安全技标术准分类信息系统安全等级保护基本要求 名称
S5A2G5,S5A1G5
A
10
1.8等级保护基本概念-基本要求
展以 中安 求全 安保 全发
展 发
信息系统安全建设整改工作规划和工作部署 信息系统安全保护现状分析
确定安全策略,制定安全建设整改方案
信息系统安全管理建设
安安 人系系 全全 员统统 管管 安建运 理理 全设维 机制 管管管 构度 理理理
涉及工作秘密、商业秘密、敏感信息的办公系统 和管理系统; 地市级以上国家机关、企业、 跨省或全国联网运行的用于生产、调度、管理、 事业单位内部重要的信息系 指挥、作业、控制等方面的重要信息系统; 统。 中央各部委、省(区、市)门户网站和重要网站; 跨省联接的网络系统等。
四级
国家重要领域、部门中涉及 国计民生、国家利益、国家 安全,影响社会稳定的核心 系统。