等级保护讲解PPT
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
二级以上 三级以上
10
系统定级
Fra Baidu bibliotek
系统备案
安全 建设整改
等级测评
安全自查与监 督检查
1、信息系统备案
• 第二级以上信息系统,由信息系统运营使用单位到所在地的市级以上公安机关网络安全保卫部门办理备案手续,填写《信息系统 安全等级保护备案表》。
• 隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部备案;其他信息 系统向北京市公安局备案。
5
基本要求修订-一个标准变为系列标准
第1部分:安全通用要求(送审稿) 第2部分:云计算安全扩展要求(送审稿) 第3部分:移动互联安全扩展要求(送审稿) 第4部分:物联网安全扩展要求(送审稿) 第5部分:工业控制系统安全扩展要求(送审稿)
第6部分:大数据安全扩展要求(立项阶段)
6
等级保护工作主要的流程
第四级信息系统:一般适用于国家重要领域、重要部门中的特别重要系统以及核心系统。例如全国铁路、民 航、电力等部门的调度系统,银行、证券、保险、税务、海关等几十个重要行业、部门中的涉及国计民生的 核心系统。
第五级信息系统:一般适用于国家重要领域、重要部门9中的极端重要系统。
系统定级
系统备案
安全 建设整改
定级对象确定
重要性分析
确定安全保护等级 组织专家评审 主管部门审批 公安机关审核
分析一期工程信息系统边界、各系统组成部分关系,确定定级对象
分别分析业务信息和系统服务被破坏后的损害客体及损害程度,确 定业务信息和系统服务安全保护级别
根据定级原则,确定系统整体保护级别为3级
邀请国家等保建设专家委专家对定级成果进行评审,确定保护等级。 定级资料报送委信息化工作办公室审批 定级资料报送给公8安部审核备案
4
立项修订等级保护主要标准
一、总体性标准 1、《计算机信息系统安全保护等级划分准则》GB17859-1999 2、《信息系统安全等级保护实施指南》GB/T 25058-2010(修订,送审稿) 二、定级备案环节 3、《信息系统安全保护等级定级指南》GB/T22240-2008(修订,行标-报批稿,国标-立项) 三、建设整改环节 4、《信息系统安全等级保护基本要求》GB/T22239-2008 (修订,送审稿) 5、《信息系统等级保护安全设计要求》GB/T25070-2010 (修订,送审稿) 四、等级测评环节 6、《信息系统安全等级保护测评要求》GB/T28448-2012(修订,送审稿) 7、《信息系统安全等级保护测评过程指南》GB/T28449-2012(修订,送审稿)
一是定级 二是备案(二级以上的信息系统) 三是系统建设、整改 四是开展等级测评 五是信息安全监管部门定期开展监督检查
系统定级
系统备案
安全 建设整改
等级测评
安全自查与监 督检查
工作流程
工作成果
摸底调查
业务厅局业务子系统的服务对象、处理的数据类型、敏感程度等内 容进行摸底调研,编写需求规格说明书并通过业务部门确认,明确 各业务厅局对相关业务的安全保护需求
2
等级保护的划分
第一级 信息系统受到破坏后,会对公民、法人和其他组织的合 法权益造成损害,但不损害国家安全、社会秩序和公共利益
第二级 信息系统受到破坏后,会对公民、法人和其他组织的合 法权益产生严重损害,或者对社会秩序和公共利益造成损害, 但不损害国家安全
第三级 信息系统受到破坏后,会对社会秩序和公共利益造成严 重损害,或者对国家安全造成损害
第四级 信息系统受到破坏后,会对社会秩序和公共利益造成特 别严重损害,或者对国家安全造成严重损害
第五级 信息系统受到破坏后,会对国家安全造成特别严重损害
已发布等级保护系列配套标准
一、总体性标准 1、《计算机信息系统安全保护等级划分准则》GB17859-1999 2、《信息系统安全等级保护实施指南》GB/T 25058-2010 二、定级备案环节 3、《信息系统安全保护等级定级指南》GB/T22240-2008 三、建设整改环节 4、《信息系统安全等级保护基本要求》GB/T22239-2008 5、《信息系统等级保护安全设计要求》GB/T25070-2010 四、等级测评环节 6、《信息系统安全等级保护测评要求》GB/T28448-2012 7、《信息系统安全等级保护测评过程指南》GB/T28449-2012
第三级信息系统:一般适用于地市级以上国家机关、重要企事业单位内部重要的信息系统。例如涉及工作秘 密、商业秘密、敏感信息的办公系统和管理系统,重要领域、重要部门跨省、跨市或全国(省)联网运行的 用于生产、调度、管理、作业、指挥等方面的重要信息系统,跨省或全国联网运行的重要信息系统在省、地 市的分支系统,中央各部委、省(区、市)门户网站和重要网站,跨省联接的网络系统等。
等级测评
安全自查与监 督检查
备案阶段需要提交材料
1
信息系统安全等级保护备案表
2
信息系统安全等级保护定级报告
3
系统拓扑结构及说明
4
系统安全组织机构和管理制度
5
系统安全保护设施设计实施方案或者改建实施方案
6
系统使用的信息安全产品清单及其认证、销售许可证明
7
信息系统安全等级保护测评报告
8
专家评审意见
9
主管部门审核批准信息系统安全保护等级的意见
系统定级
系统备案
安全 建设整改
等级测评
安全自查与监 督检查
针对不同的信息系统,建议参考以下原则定级。
第一级信息系统:一般适用于乡镇所属信息系统、县级某些单位中一般的信息系统、小型私营、个体企业、 中小学的信息系统。
第二级信息系统:一般适用于县级某些单位中的重要信息系统,地市级以上国家机关、企业、事业单位内部 一般的信息系统。例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。
等级保护2.0介绍
什么是等级保护?
信息安全等级保护是指对国家安全、法人和其他组织及公民的专有信息以及公开信息 和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息 安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置的综合性 工作。
工作过程:信息系统定级、备案、安全建设整改、等级测评、监督检查。
• 跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,应当向当地设区的市级以上公安机关备案。 • 各部委统一定级信息系统在各地的分支系统,即使是上级主管部门定级的,也要到当地公安网络安全保卫部门备案。