信息安全等级保护标准体系概述.pptx
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
等级保护标准体系
• 从等级保护生命周期看
• 通用/基础标准 • 系统定级用标准 • 安全建设用标准 • 等级测评用标准 • 运行维护用标准等
等级保护主要工作
一是:定级备案 二是:建设整改 三是:等级测评 四是:监督检查
等级保护工作中用到的主要标准
(一)基础 1、《计算机信息系统安全保护等级划分准则》GB17859-1999 2、《信息系统安全等级保护实施指南》GB/T 25058-2010 (二)系统定级环节 3、《信息系统安全保护等级定级指南》GB/T22240-2008 (三)建设整改环节 4、《信息系统安全等级保护基本要求》GB/T22239-2008 (四)等级测评环节 5、《信息系统安全等级保护测评要求》(国标报批稿) 6、《信息系统安全等级保护测评过程指南》(国标报批稿)
实施指南
局部调整
信息系统定级 总体安全规划 安全设计与实施 安全运行维护 信息系统终止
等级变更
实施指南的主要思路
以信息系统安全等级保护建设为主要线索, 定义信息系统等级保护实施的主要阶段和过程 对每个阶段介绍和描述主要的过程和实施活动 对每个活动说明实施主体、主要活动内容和输入输出等
实施指南标准的结构
目录
• 信息安全等级保护制度要干什么 • 信息安全等级保护工作使用的主要标准
• 管理办法 • 实施指南 • 定级指南 • 基本要求 • 测评要求
具体做法
定级指南、实施指南 基本要求,定级指南、 实施指南,设计规范、测评要求
基本要求,实施指南、 安全产品标准
监督管理要求、 基 本要求、测评要求
监督管理要求 实施指南
标准定位和关系
• 管理办法(43文件)(总要求) • 实施指南(GB/T25058-2010) • 定级指南(GB/T22240-2008) • 基本要求(GB/T22239-2008) • 测评要求 • 建设指南
目录
• 信息安全等级保护制度要干什么 • 信息安全等级保护工作使用的主要标准
• 管理办法 • 实施指南 • 定级指南 • 基本要求 • 测评要求
• 正文由9个章节1个附录构成
• 1. 范围 • 2.规范性引用文件 • 3术语定义 • 4. 等级保护实施概述 • 5.信息系统定级 • 6.总体安全规划 • 7.安全设计/实施 • 8.安全运行维护 • 9.信息系统终止 • 附录A 主要过程及其输出
在安全建设整改工作中的作用 等级保护有关标准
等级保护标准体系
• 信息安全等级保护标准体系由等级保护工作过程中所需的所有标准组成,整 个标准体系可以从多个角度分析
• 从基本分类角度看
• 基础类标准 • 技术类标准 • 管理类标准
• 从对象角度看
• 基础标准 • 系统标准 • 产品标准 • 安全服务标准 • 安全事件标准等
管理办法
• 《管理办法》第十四条:
• 信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件 的测评单位,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统 安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评,第四 级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需 求进行等级测评。
管理办法
• 《管理办法》第十三条:
• 运营、使用单位应当参照《信息安全技术信息系统安全管理要求》 (GB/T20269-2006)、《信息安全技术信息系统安全工程管理要求》 (GB/T20282-2006)、《信息系统安全等级保护基本要求》等管理规范,制 定并落实符合本系统安全保护等级要求的安全管理制度。
小结-等级保护主要政策和标准
• 《信息安全等级保护管理办法》(公通字[2007]43号,以下简称《管理办法》) • 《计算机信息安全保护等级划分准则》(GB 17859-1999,简称《划分准则》) • 《信息系统安全等级保护实施指南》 GB/T 25058-2010 (简称《实施指南》) • 《信息系统安全保护等级定级指南》(GB/T 22240-2008,简称《定级指南》) • 《信息系统安全等级保护基本要求》(GB/T 22239-2008,简称《基本要求》) • 《信息系统安全等级保护测评要求》(简称《测评要求》) • 《信息系统安全等级保护测评过程指南》 (简称《测评过程指南》)
管理办法
• 《管理办法》第八条: • 信息系统运营、使用单位依据本办法和相关技术标准对信息系统
进行保护,国家有关信息安全职能部门对其信息安全等级保护工 作进行监督管理 。
管理办法
• 《管理办法》第九条: • 信息系统运营、使用单位应当按照《信息系统安全等级保护
实施指南》具体实施等级保护工作。
管理办法
目录
• 信息安全等级保护制度要干什么 • 信息安全等级保护工作使用的主要标准
• 管理办法 • 实施指南 • 定级指南 • 基本要求 • 测评要求
wk.baidu.com
实施指南
介绍和描述了实施信息系统等级保护过程 中涉及的阶段、过程和需要完成的活动,通过 对过程和活动的介绍,使大家了解对信息系统 实施等级保护的流程方法,以及不同的角色在 不同阶段的作用等。
• 《管理办法》第十条: • 信息系统运营、使用单位应当依据本办法和《信息系统安全
等级保护定级指南》确定信息系统的安全保护等级。有主管 部门的,应当经主管部门审核批准。
管理办法
• 《管理办法》第十二条:
• 在信息系统建设过程中,运营、使用单位应当按照《计算机信息系统安 全保护等级划分准则》(GB17859-1999)、《信息系统安全等级保护基 本要求》等技术标准,参照……等技术标准同步建设符合该等级要求的信 息安全设施。
等级保护标准体系
多年来,在有关部门支持下,在国内有关专 家、企业的共同努力下,全国信息安全标准化技 术委员会和公安部信息系统安全标准化技术委员 会组织制订了信息安全等级保护工作需要的一系 列标准,形成了比较完整的信息安全等级保护标 准体系。汇集成《信息安全等级保护标准汇编》 供有关单位、部门使用。
信息安全等级保护标准体系概述
目录
• 信息安全等级保护标准体系 • 信息安全等级保护工作使用的主要标准
• 管理办法 • 实施指南 • 定级指南 • 基本要求 • 测评要求
目录
• 信息安全等级保护标准体系 • 信息安全等级保护工作使用的主要标准
• 管理办法 • 实施指南 • 定级指南 • 基本要求 • 测评要求