信息安全等级保护标准体系概述.pptx
合集下载
信息安全等级保护制度的主要内容和要求136页PPT
拉
60、生活的道路一旦选定,就要勇敢地 走到底 ,决不 回头。过 去和未 来文化 生活的 源泉。 ——库 法耶夫 57、生命不可能有两次,但许多人连一 次也不 善于度 过。— —吕凯 特 58、问渠哪得清如许,为有源头活水来 。—— 朱熹 59、我的努力求学没有得到别的好处, 只不过 是愈来 愈发觉 自己的 无知。 ——笛 卡儿
信息安全等级保护制度的主要内容和 要求
11、用道德的示范来造就一个人,显然比用法律来约束他更有价值。—— 希腊
12、法律是无私的,对谁都一视同仁。在每件事上,她都不徇私情。—— 托马斯
13、公正的法律限制不了好的自由,因为好人不会去做法律不允许的事 情。——弗劳德
14、法律是为了保护无辜而制定的。——爱略特 15、像房子一样,法律和法律都是相互依存的。——伯克
60、生活的道路一旦选定,就要勇敢地 走到底 ,决不 回头。过 去和未 来文化 生活的 源泉。 ——库 法耶夫 57、生命不可能有两次,但许多人连一 次也不 善于度 过。— —吕凯 特 58、问渠哪得清如许,为有源头活水来 。—— 朱熹 59、我的努力求学没有得到别的好处, 只不过 是愈来 愈发觉 自己的 无知。 ——笛 卡儿
信息安全等级保护制度的主要内容和 要求
11、用道德的示范来造就一个人,显然比用法律来约束他更有价值。—— 希腊
12、法律是无私的,对谁都一视同仁。在每件事上,她都不徇私情。—— 托马斯
13、公正的法律限制不了好的自由,因为好人不会去做法律不允许的事 情。——弗劳德
14、法律是为了保护无辜而制定的。——爱略特 15、像房子一样,法律和法律都是相互依存的。——伯克
信息安全等保培训ppt课件
信息安全等级保护制度介绍
上海市信息安全测评认证中心
1
介绍大纲
1 信息安全等级保护工作概述 2 趋势科技与等级保护合规性
信息安全等级保护制度
信息安全等级保护制度是什么 信息安全等级保护制度要干什么 如何开展信息安全等级保护工作
3
引言
❖ 在当今社会中,信息已成为人类宝贵的资源,并且可以通 过Internet为全球人类所使用与共享。
应安装防恶意代码软件,并及时更新防恶意代 码软件版本和恶意代码库
备注
趋势科技与等级保护合规性
❖ Deep Security
符合要求 主机入侵防范 主机恶意代码防范
符合内容
能够检测到对重要服务器进行入侵的行为,能 够记录入侵的源IP、攻击的类型、攻击的目的 、攻击的时间,并在发生严重入侵事件时提供 报警
符合要求 主机恶意代码防范
符合内容
应安装防恶意代码软件,并及时更新防恶意代 码软件版本和恶意代码库
备注
趋势科技与等级保护合规性
❖ Web 安全网关 IWSA
符合要求 网络结构安全
网络访问控制
符合内容
避免将重要网段部署在网络边界处且直接连接 外部信息系统,重要网段与其他网段之间采取 可靠的技术隔离手段
❖ 主要原则:立足国情,以我为主,坚持管理与技术并重; 正确处理安全与发展的关系,以安全促发展,在发展中求 安全;统筹规划、突出重点,强化基础性工作;明确国家 、企业、个人的责任和义务,充分发挥各方面的积极性, 共同构筑国家信息安全保障体系。
13
等级保护制度
(一)信息安全等级保护制度是什么?
14
什么是信息安全等级保护工作
操作系统通过设置升级服务器等方式保持系统 补丁及时得到更新
上海市信息安全测评认证中心
1
介绍大纲
1 信息安全等级保护工作概述 2 趋势科技与等级保护合规性
信息安全等级保护制度
信息安全等级保护制度是什么 信息安全等级保护制度要干什么 如何开展信息安全等级保护工作
3
引言
❖ 在当今社会中,信息已成为人类宝贵的资源,并且可以通 过Internet为全球人类所使用与共享。
应安装防恶意代码软件,并及时更新防恶意代 码软件版本和恶意代码库
备注
趋势科技与等级保护合规性
❖ Deep Security
符合要求 主机入侵防范 主机恶意代码防范
符合内容
能够检测到对重要服务器进行入侵的行为,能 够记录入侵的源IP、攻击的类型、攻击的目的 、攻击的时间,并在发生严重入侵事件时提供 报警
符合要求 主机恶意代码防范
符合内容
应安装防恶意代码软件,并及时更新防恶意代 码软件版本和恶意代码库
备注
趋势科技与等级保护合规性
❖ Web 安全网关 IWSA
符合要求 网络结构安全
网络访问控制
符合内容
避免将重要网段部署在网络边界处且直接连接 外部信息系统,重要网段与其他网段之间采取 可靠的技术隔离手段
❖ 主要原则:立足国情,以我为主,坚持管理与技术并重; 正确处理安全与发展的关系,以安全促发展,在发展中求 安全;统筹规划、突出重点,强化基础性工作;明确国家 、企业、个人的责任和义务,充分发挥各方面的积极性, 共同构筑国家信息安全保障体系。
13
等级保护制度
(一)信息安全等级保护制度是什么?
14
什么是信息安全等级保护工作
操作系统通过设置升级服务器等方式保持系统 补丁及时得到更新
信息系统等级保护44页PPT
以《需基求本背要求景》中 “ 用 求以中以为网 、《物《政目络数基理基策标、据本依主”,安本机部以据要全要分、《求求部要应设》》 经级计分中分要过保为为管求信护依依理》息 专据据为安安 家方全全 论法等 证部
通过
流程四:等保体系整体架构
安全接入/隔离设备
区域边界
区域边界
通信网络
通信网络
其它定级系统
公通字 [2019]66号
公通字 [2019]43号
公信安 [2019]861 号
颁布机构
国务院
中共中央办公厅 国务院办公厅
公安部 国家保密局 国家密码管理委 员会办公室 (国家密码管理 局) 国务院信息化工 作办公室
内容及意义
第一次提出信息系统要实行 等级保护,并确定了等级保 护的职责单位。
等级保护工作的开展必须分 步骤、分阶段、有计划的实 施。明确了信息安全等级保 护制度的基本内容。
安全管理 中心
安全管理中心
计算环境
网站/应用服务器 交换设备 计算环境
终端 用户
流程五:等保体系部署
通信网络
国家安全
第三级 第四级 第五级
流程二:等保建设立项
信息系统等级保护建设,经过信息系统的运营、管理部 门以及有关政府部门的批准,并列入信息系统运营单位或政 府计划的过程。
一项基本国策,一项基本制度,具有政策的强制性 是办公电子化、业务信息化发展必需的保障手段 用户业务开展的实际需求
流程三:风险评估
信息系统安全等级保护定级指南
GB17859-2019 计算机信息系统安全保护等级划分准则
等级保护的技术标准规范
面向评估者技术标准:
《计算机信息系统安全保护等级划分准则》 (GB 17859-2019) 《信息安全技术 信息系统通用安全技术要求》 (GB/T 20271-2019) 《信息安全技术 操作系统安全技术要求》 (GB/T 20272-2019)
信息安全等级保护政策体系-PPT
第2部分
信息安全等级保护政策体系和标准体系
5.信息安全等级保护主要标准简要说明
(2)《信息系统安全等级保护基本要求》(GB/T22239—2008) 1)主要作用
不同安全保护等级的信息系统有着不同的安全需求,为此,针对不同等级的信息系统提出了相应 的基本安全保护要求,各个级别信息系统的安全保护要求构成了《信息系统安全等级保护基本要求》。 2)主要内容
第2部分
信息安全等级保护政策体系和标准体系
5.信息安全等级保护主要标准简要说明
(2)《信息系统安全等级保护基本要求》
(GB/T22239—2008) 2)主要内容 保护要求的分级方法
网络恶意代码防 范、剩余信息保 护、抗抵赖
安全保护能力逐级增高,相应的安全保护
要求和措施逐级增强
监控管理和安全 管理中心
信息保密与信息安全
保密、常识、技术、意识教育
政策体系和标准体系
第2部分
信息安全等级保护政策体系和标准体系
1.信息安全等级保护政策体系
(1)总体方面的政策文件 《关于信息安全等级保护工作的实施意见》(公通字 [2004]66 号) 《信息安全等级保护管理办法》(公通字 [2007]43 号) (2)具体环节的政策文件 对应等级保护工作的具体环节(信息系统定级、备案、 安全建设整改、等级测评、安全检查),公安部出台了 相应的政策规范。
第2部分
信息安全等级保护政策体系和标准体系
2.信息安全等级保护标准体系
他类标准 1)风险评估 《信息安全风险评估规范》(GB/T 20984—2007)。 2)事件管理 《信息安全事件管理指南》(GB/Z 20985—2007); 《信息安全事件分类分级指南》(GB/Z 20986—2007); 《信息系统灾难恢复规范》(GB/T 20988—2007)。
信息系统安全等级保护培训课件(PPT 36页)
区域边界保护
保护计算环境
保护计算环境
实现集中安全管理
落实安全管理措施
三级系统安全管理措施
- 建立全面的安全管理制度,并安排专人负责并监控执行情况; - 建立全面的人员管理体系,制定严格的考核标准 - 建设过程的各项活动都要求进行制度化规范,按照制度要求进行 活动的开展 - 实现严格的保密性管理 - 成立安全运维小组,对安全维护的责任落实到具体的人 - 引入第三方专业安全服务
物理安 • 需要到物理机房实地检查,请提前申请进入机房的相关手续,并协调查看机房管理相关管理记录 全
网络安 • 需要登录网络设备、安全设备检查相关配置及漏洞扫描,请分配可接入的网络端口及地址,提供配置文件
全 主机安 • 需要登录相关主机设备检查相关配置及漏洞扫描,请分配可接入的网络端口及地址 全 应用安 • 请提供应用系统访问地址,以及访问该应用所需的网络地址,帐户名称、口令以及其它鉴别方式所需软硬件设备 全
分级保护系列标准规范
《涉及国家秘密的计算机信息系统分级保 护技术要求》BMB17-2006 《涉及国家秘密计算机信息系统安全保密 方案设计指南》 BMB23-2008 涉密信息系统安全保障建设 《涉及国家秘密计算机信息系统分级保护 指南 管理规范》BMB20-2007 《涉及国家秘密的信息系统分级保护测评 指南》BMB22—2007 《涉及国家秘密计算机信息系统分级保护 管理办法 》国家保密局16号
管理制 • 请提供安全管理制度电子档或纸质版本,以及相关记录文件
度
1、最灵繁的人也看不见自己的背脊。——非洲 2、最困难的事情就是认识自己。——希腊 3、勇猛、大胆和坚定的决心能够抵得上武器的精良。——达· 芬奇 4、与肝胆人共事,无字句处读书。——周恩来 5、一个人即使已登上顶峰,也仍要自强不息。——罗素· 贝克 6、一切节省,归根到底都归结为时间的节省。——马克思 7、自知之明是最难得的知识。——西班牙 8、勇气通往天堂,怯懦通往地狱。——塞内加 9、有时候读书是一种巧妙地避开思考的方法。——赫尔普斯 10、阅读一切好书如同和过去最杰出的人谈话。——笛卡儿 11、有勇气承担命运这才是英雄好汉。——黑塞 12、只有把抱怨环境的心情,化为上进的力量,才是成功的保证。——罗曼· 罗兰 13、知人者智,自知者明。胜人者有力,自胜者强。——老子 14、意志坚强的人能把世界放在手中像泥块一样任意揉捏。——歌德 15、最具挑战性的挑战莫过于提升自我。——迈克尔· F· 斯特利 16、业余生活要有意义,不要越轨。——华盛顿 17、意志是一个强壮的盲人,倚靠在明眼的跛子肩上。——叔本华 18、最大的挑战和突破在于用人,而用人最大的突破在于信任人。——马云 19、我这个人走得很慢,但是我从不后退。——亚伯拉罕· 林肯 20、要掌握书,莫被书掌握;要为生而读,莫为读而生。——布尔沃 21、要知道对好事的称颂过于夸大,也会招来人们的反感轻蔑和嫉妒。——培根 22、业精于勤,荒于嬉;行成于思,毁于随。——韩愈 23、最大的骄傲于最大的自卑都表示心灵的最软弱无力。——斯宾诺莎 24、知之者不如好之者,好之者不如乐之者。——孔子 25、学习是劳动,是充满思想的劳动。——乌申斯基 26、要使整个人生都过得舒适、愉快,这是不可能的,因为人类必须具备一种能应付逆境的态度。——卢梭 27、越是无能的人,越喜欢挑剔别人的错儿。——爱尔兰 28、意志命运往往背道而驰,决心到最后会全部推倒。——莎士比亚 29、越是没有本领的就越加自命不凡。——邓拓 30、阅读使人充实,会谈使人敏捷,写作使人精确。——培根
信息安全等级保护概述(PPT 120页)
全国公安教育训练网络学院网络安全分院
(五)GA/T 387 — 2002《计算机信 息系统安全等级保护网络技术要求》
GA/T 387 — 2002主要内容为: (1)简单描述了关于安全等级划分、主体、客体、TCB 、密码技术、建立网络安全的一般要求,以及网络安全 组成与相互关系。 (2)详细描述了网络基本安全技术,包括自主访问控制 、强制访问控制、标记、用户身份鉴别、剩余信息保护 、安全审计、数据完整性、隐蔽信道分析、可信路径、 可信恢复、抗抵赖、密码支持等。 (3)详细描述了网络安全技术要求。 (4)五个安全等级划分要求技术方面细则。
1999年,强制性国家标准-《计算机信息系统安全保护等 级划分准则》GB 17859)。
全国公安教育训练网络学院网络安全分院
2003年,中办、国办转发的《国家信息化领导小组关 于加强信息安全保障工作的意见》(中办发[2003]27号) 明确指出“实行信息安全等级保护”。 “要重点保护基础 信息网络和关系国家安全、经济命脉、社会稳定等方面的 重要信息系统,抓紧建立信息安全等级保护制度,制定信 息安全等级保护的管理办法和技术指南” 。
本级系统依照国家管理规范和技术标准进行自主保护。
全国公安教育训练网络学院网络安全分院
二、信息系统安全等级划分
(二)第二级为指导保护级
其主要对象为一般的信息系统,其业务信息安全性 或业务服务保证性受到破坏后,会对社会秩序和公 共利益造成一定损害,但不损害国家安全。
本级系统依照国家管理规范和技术标准进行自主保 护,必要时信息安全监管职能部门对其进行指导。
1、 政府层面:国家制定统一信息安全等级保护管理规 范和技术标准,组织公民、法人和其他组织对信息系 统分等级实行安全保护,对信息安全产品的使用分等 级实行管理,对等级保护工作的实施进行监督、指导 。 2、用户层面 :公民、法人和其他组织应当按照国家有 关等级保护的管理规范和技术标准开展等级保护工作 ,服从国家对信息安全等级保护工作的监督、指导, 保障信息系统安全。 3、社会层面 :信息安全产品的研制、生产单位,信息 系统的集成、等级测评、风险评估等安全服务机构, 依据国家有关管理规定和技术标准,开展相应工作, 并接受国家信息安全职能部门的监督管理。
(五)GA/T 387 — 2002《计算机信 息系统安全等级保护网络技术要求》
GA/T 387 — 2002主要内容为: (1)简单描述了关于安全等级划分、主体、客体、TCB 、密码技术、建立网络安全的一般要求,以及网络安全 组成与相互关系。 (2)详细描述了网络基本安全技术,包括自主访问控制 、强制访问控制、标记、用户身份鉴别、剩余信息保护 、安全审计、数据完整性、隐蔽信道分析、可信路径、 可信恢复、抗抵赖、密码支持等。 (3)详细描述了网络安全技术要求。 (4)五个安全等级划分要求技术方面细则。
1999年,强制性国家标准-《计算机信息系统安全保护等 级划分准则》GB 17859)。
全国公安教育训练网络学院网络安全分院
2003年,中办、国办转发的《国家信息化领导小组关 于加强信息安全保障工作的意见》(中办发[2003]27号) 明确指出“实行信息安全等级保护”。 “要重点保护基础 信息网络和关系国家安全、经济命脉、社会稳定等方面的 重要信息系统,抓紧建立信息安全等级保护制度,制定信 息安全等级保护的管理办法和技术指南” 。
本级系统依照国家管理规范和技术标准进行自主保护。
全国公安教育训练网络学院网络安全分院
二、信息系统安全等级划分
(二)第二级为指导保护级
其主要对象为一般的信息系统,其业务信息安全性 或业务服务保证性受到破坏后,会对社会秩序和公 共利益造成一定损害,但不损害国家安全。
本级系统依照国家管理规范和技术标准进行自主保 护,必要时信息安全监管职能部门对其进行指导。
1、 政府层面:国家制定统一信息安全等级保护管理规 范和技术标准,组织公民、法人和其他组织对信息系 统分等级实行安全保护,对信息安全产品的使用分等 级实行管理,对等级保护工作的实施进行监督、指导 。 2、用户层面 :公民、法人和其他组织应当按照国家有 关等级保护的管理规范和技术标准开展等级保护工作 ,服从国家对信息安全等级保护工作的监督、指导, 保障信息系统安全。 3、社会层面 :信息安全产品的研制、生产单位,信息 系统的集成、等级测评、风险评估等安全服务机构, 依据国家有关管理规定和技术标准,开展相应工作, 并接受国家信息安全职能部门的监督管理。
等级保护PPT课件
.
17
基本概念
• 访问控制机制
– 自主访问控制(Discretionary Access Control)
• 如果作为客体的拥有者的个人用户可以设置访问控 制属性来许可或拒绝对客体的访问,那么这样的机 制就称为自主访问控制。
• 例:一个小孩有本笔记。她允许妈妈读,但其他人 不可以读。
• 访问控制取决于拥有者. 的判断力。
TCB
安全域
TCB安全功能 (TSF)
TCB安全策略 (TSP)
TCB安全功能 (TSF)
TCB安全策略 (TSP)
.
26
基本概念
• 可信计算基(trusted computing base)
– 高安全级别操作系统中TCB的设计原则
• TCB独立于系统的其他部分 • TCB不含有和安全无关的内容 • 具有引用监视器的特性
.
5
等级保护与分级保护的关系
• 涉密信息系统分级保护保护的对象是所有涉及国 家秘密的信息系统,重点是:
– 党政机关 – 军队和军工单位,
• 由各级保密工作部门根据涉密信息系统的保护等 级实施监督管理,确保系统和信息安全,确保国 家秘密不被泄漏
.
6
等级保护与分级保护的关系
• 国家信息安全等级保护是国家从整体上、根本上 解决国家信息安全问题的办法, 对信息系统实行等 级保护是国家法定制度和基本国策,是信息安全 保护工作的发展方向。
• 战略高度
– 通过提高国家信息安全综合防护能力
– 保障国家安全,维护和稳定信息社会秩序,促 进经济发展,提高综合国力
• 核心
– 对信息安全分等级、按标准进行建设、管理和
监督
.
32
2.信息安全等级保护综述
信息系统安全等级保护讲义-PPT精品文档
互联网安全环境
网络安全是互联网应用发展的基础保障。2019年上 半年,遇到过病毒或木马攻击的网民达到2.17 亿。
发展史
1994年,国务院颁布《计算机信息系统安全保
护条例》(147号令)
第九条 计算机信息系统实行安全等级保护。安全等 级的划分标准和安全等级保护的具体办法,由公安 部会同有关部门制定。
发展史
2019年,全国信息安全保障工作会议:专门将
信息安全等级保护工作作为信息安全保障工作 的一项重要任务来部署。 2019年9月,公安部、保密局、密码管理局、 国信办联合出台了《关于信息安全等级保护工 作的实施意见》(公通字[2019]66号):明确 了信息安全等级保护制度的原则和基本内容, 以及信息安全等级保护工作的职责分工、工作 实施的要求等。 2019年,公安部、保密局、密码管理局、国信 办联合制定了《信息安全等级保护管理办法》, 标志着我国等级保护制度的初步形成
内容
安全等级保护概述
安全等级保护定级原理 安全等级保护定级方法
安全等级保护定级管理
安全等级保护技术和管理要求
定级准则
坚持自主定级、自主保护的原则。 应当根据信息系统在国家安全、经济建设、社
会生活中的重要程度,信息系统遭到破坏后对 国家安全、社会秩序和公共利益以及公民、法 人和其他组织的合法权益(受侵害客体)的危 害程度等因素确定。
定级范围
运营商和服务提供商 电信、广电行业的公用通信网、广播电视传输网等基础 信息网络,经营性公众互联网信息服务单位、互联网接 入服务单位、数据中心等单位的重要信息系统。 重要行业 铁路、银行、海关、税务、民航、电力、证券、保险、 外交、科技、发展改革、国防科技、公安、人事劳动和 社会保障、财政、审计、商务、水利、国土资源、能源、 交通、文化、教育、统计、工商行政管理、邮政等行业、 部门的生产、调度、管理、办公等重要信息系统。 重要机关 市(地)级以上党政机关的重要网站和办公信息系统。 涉密系统 涉及国家秘密的信息系统。
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
在安全建设整改工作中的作用 等级保护有关标准
等级保护标准体系
• 信息安全等级保护标准体系由等级保护工作过程中所需的所有标准组成,整 个标准体系可以从多个角度分析
• 从基本分类角度看
• 基础类标准 • 技术类标准 • 管理类标准
• 从对象角度看
• 基础标准 • 系统标准 • 产品标准 • 安全服务标准 • 安全事件标准等
等级保护标准体系
多年来,在有关部门支持下,在国内有关专 家、企业的共同努力下,全国信息安全标准化技 术委员会和公安部信息系统安全标准化技术委员 会组织制订了信息安全等级保护工作需要的一系 列标准,形成了比较完整的信息安全等级保护标 准体系。汇集成《信息安全等级保护标准汇编》 供有关单位、部门使用。
目录
• 信息安全等级保护制度要干什么 • 信息安全等级保护工作使用的主要标准
• 管理办法 • 实施指南 • 定级指南 • 基本要求 • 测评要求
具体做法
定级指南、实施指南 基本要求,定级指南、 实施指南,设计规范、测评要求
基本要求,实施指南、 安全产品标准
监督管理要求、 基 本要求、测评要求
监督管理要求 实施指南
管理办法
• 《管理办法》第十四条:
• 信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件 的测评单位,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统 安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评,第四 级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需 求进行等级测评。
目录Байду номын сангаас
• 信息安全等级保护制度要干什么 • 信息安全等级保护工作使用的主要标准
• 管理办法 • 实施指南 • 定级指南 • 基本要求 • 测评要求
实施指南
介绍和描述了实施信息系统等级保护过程 中涉及的阶段、过程和需要完成的活动,通过 对过程和活动的介绍,使大家了解对信息系统 实施等级保护的流程方法,以及不同的角色在 不同阶段的作用等。
标准定位和关系
• 管理办法(43文件)(总要求) • 实施指南(GB/T25058-2010) • 定级指南(GB/T22240-2008) • 基本要求(GB/T22239-2008) • 测评要求 • 建设指南
目录
• 信息安全等级保护制度要干什么 • 信息安全等级保护工作使用的主要标准
• 管理办法 • 实施指南 • 定级指南 • 基本要求 • 测评要求
小结-等级保护主要政策和标准
• 《信息安全等级保护管理办法》(公通字[2007]43号,以下简称《管理办法》) • 《计算机信息安全保护等级划分准则》(GB 17859-1999,简称《划分准则》) • 《信息系统安全等级保护实施指南》 GB/T 25058-2010 (简称《实施指南》) • 《信息系统安全保护等级定级指南》(GB/T 22240-2008,简称《定级指南》) • 《信息系统安全等级保护基本要求》(GB/T 22239-2008,简称《基本要求》) • 《信息系统安全等级保护测评要求》(简称《测评要求》) • 《信息系统安全等级保护测评过程指南》 (简称《测评过程指南》)
• 《管理办法》第十条: • 信息系统运营、使用单位应当依据本办法和《信息系统安全
等级保护定级指南》确定信息系统的安全保护等级。有主管 部门的,应当经主管部门审核批准。
管理办法
• 《管理办法》第十二条:
• 在信息系统建设过程中,运营、使用单位应当按照《计算机信息系统安 全保护等级划分准则》(GB17859-1999)、《信息系统安全等级保护基 本要求》等技术标准,参照……等技术标准同步建设符合该等级要求的信 息安全设施。
实施指南
局部调整
信息系统定级 总体安全规划 安全设计与实施 安全运行维护 信息系统终止
等级变更
实施指南的主要思路
以信息系统安全等级保护建设为主要线索, 定义信息系统等级保护实施的主要阶段和过程 对每个阶段介绍和描述主要的过程和实施活动 对每个活动说明实施主体、主要活动内容和输入输出等
实施指南标准的结构
• 正文由9个章节1个附录构成
• 1. 范围 • 2.规范性引用文件 • 3术语定义 • 4. 等级保护实施概述 • 5.信息系统定级 • 6.总体安全规划 • 7.安全设计/实施 • 8.安全运行维护 • 9.信息系统终止 • 附录A 主要过程及其输出
等级保护标准体系
• 从等级保护生命周期看
• 通用/基础标准 • 系统定级用标准 • 安全建设用标准 • 等级测评用标准 • 运行维护用标准等
等级保护主要工作
一是:定级备案 二是:建设整改 三是:等级测评 四是:监督检查
等级保护工作中用到的主要标准
(一)基础 1、《计算机信息系统安全保护等级划分准则》GB17859-1999 2、《信息系统安全等级保护实施指南》GB/T 25058-2010 (二)系统定级环节 3、《信息系统安全保护等级定级指南》GB/T22240-2008 (三)建设整改环节 4、《信息系统安全等级保护基本要求》GB/T22239-2008 (四)等级测评环节 5、《信息系统安全等级保护测评要求》(国标报批稿) 6、《信息系统安全等级保护测评过程指南》(国标报批稿)
管理办法
• 《管理办法》第八条: • 信息系统运营、使用单位依据本办法和相关技术标准对信息系统
进行保护,国家有关信息安全职能部门对其信息安全等级保护工 作进行监督管理 。
管理办法
• 《管理办法》第九条: • 信息系统运营、使用单位应当按照《信息系统安全等级保护
实施指南》具体实施等级保护工作。
管理办法
信息安全等级保护标准体系概述
目录
• 信息安全等级保护标准体系 • 信息安全等级保护工作使用的主要标准
• 管理办法 • 实施指南 • 定级指南 • 基本要求 • 测评要求
目录
• 信息安全等级保护标准体系 • 信息安全等级保护工作使用的主要标准
• 管理办法 • 实施指南 • 定级指南 • 基本要求 • 测评要求
管理办法
• 《管理办法》第十三条:
• 运营、使用单位应当参照《信息安全技术信息系统安全管理要求》 (GB/T20269-2006)、《信息安全技术信息系统安全工程管理要求》 (GB/T20282-2006)、《信息系统安全等级保护基本要求》等管理规范,制 定并落实符合本系统安全保护等级要求的安全管理制度。