信息系统等级保护公安部信息安全等级保护评估中心
信息系统安全等级保护测评过程及方法
等测特点
执行主体:符合条件的测评机构 执行的强制性:管理办法强制周期性执行 执行对象:已绊定级的信息系统 测评依据:依据《基本要求》 测评内容:单元测评(技术和管理)和整体测评 测评付出:丌同级别的测评力度丌同 测评方式:访谈、检查和测试 服务对象:主管部门,运维、使用单位,信息安全监管部门 判定准则:满足业务需求
二者共同指导等级测评工作。
48
《测评过程指南》目彔
目彔说明
一级目彔 二级目彔 三级目彔
×××活劢
×××活劢的工作流程 ×××活劢的主要仸务 ×××活劢的输出文档 ×××活劢中双方的职责
×××(仸务名称)
四级目彔
×××
具体内容
具体仸务描述
49
主要章节的描述结构
过程
活劢 仸务
仸务项
—等级测评过程
35
单元测评-网络层面
网络层面构成组件负责支撑信息系统迚行网络互联,为 信息系统各个构成组件迚行安全通信传输,一般包括网 络设备、连接线路以及它们构成的网络拓扑等。
测评对象:
网络互联设备 网络安全设备 网络管理平台 相应设计/验收文档,设备的运行日志等
36
单元测评-系统层面
系统层面主要是指主机系统,构成组件有服务器、终端 /工作站等计算机设备,包括他们的操作系统、数据库 系统及其相关环境等
洞令 扫更
本 升
档 管
…
记 描换 级 理
相应表栺 相应操作记彔
41
策略
制度 操作 规程
记彔
整体测评
安全控制点间 层面间 区域间
42
安全控制点间
同一层面内丌同安全控制乊间存在的功能增 强(补充)或削弱等关联作用。
物理访问控制不防盗窃和防破坏 身仹鉴别不访问控制 身仹鉴别不安全审计
信息安全等级保护制度的主要内容和工作要求
码部门监管,造成信息系统出现重大安全事故的,要追 究单位和人员的责任。
二、等级保护政策体系和标准体系
(一)信息安全等级保护政策体系
近几年,公安部根据国务院147号令的授
权,会同国家保密局、国家密码管理局、发
改委、原国务院信息办出台了一些文件,公
安部和省厅对有些具体工作出台了一些指导 意见和规范,构成了信息安全等级保护政策 体系。 汇集成《信息安全等级保护工作汇 编》供有关单位、部门使用。
信息安全等级保护制度的
主要内容和工作要求
目
录
一、信息安全等级保护制度的主要内容 二、信息安全等级保护政策、标准体系 三、等级保护工作的具体内容和工作要求
一、等级保护制度的主要内容
(一)国家为什么要实施信息安全等级保 护制度
1.信息安全形势严峻
◆敌对势力的入侵、攻击、破坏
◆针对基础信息网络和重要信息系统的违法犯 罪持续上升 ◆基础信息网络和重要信息系统安全隐患严重
(三)等级保护制度的地位和作用
是国家信息安全保障工作的基本制度、基
本国策。
是开展信息安全工作的基本办法。 是促进国家信息化、维护国家信息安全 的
根本保障。
一、等级保护制度的主要内容
(四)实施等级保护制度的主要目的
◆明确重点、突出重点、保护重点 ◆有利于同步建设、协调发展。
◆
优化信息安全资源的配置。
一、等级保护制度的主要内容
2、《国家信息化领导小组关于加强信息安全 保障工作的意见》(中办发[2003]27号)规 定:要重点保护基础信息网络和关系国家 安全、经济命脉、社会稳定等方面的重要 信息系统,抓紧建立信息安全等级保护制
度,制定信息安全等级保护的管理办法和
信息安全等级保护评估中心.
2018/9/24
16
定级阶段-关于行业定级指导意见
对客体的侵害不是威胁直接作用的结果, 而是通过对等级保护对象——信息系统的 破坏而导致的,因此确定对客体侵害的程 度时,必须考虑对等级保护对象所造成破 坏的不同客观表现形态以及不同程度的结 果,也就是侵害的客观方面。
2018/9/24
5
公安部 信息安全 等级保护 评估中心
实施指南描述特点
阶段
– 过程
• 活动 – 子活动
公安部 信息安全 等级保护 评估中心
例如: 信息系统定级
– 信息系统分析
• 系统识别和描绘 – 识别信息系统的基本信息 – 识别信息系统的管理框架 – … 信息系统划分
6
•
2018/9/24
定级阶段
2018/9/24
9
定级阶段-关于行业定级指导意见
行业定级指导意见的意义:
– 贯彻四部委会签的《管理办法》
公安部 信息安全 等级保护 评估中心 – 阐明本行业实施等级保护工作的政策和方针 – 制定本行业定级工作的阶段计划 – 统一本行业对定级要素赋值规范
2018/9/24
10
定级阶段-关于行业定级指导意见
28
识别业务种类、流程和服务
21
公安部 信息安全 等级保护 评估中心
–
满足信息系统的基本要素
2018/9/24
定级阶段-关于定级对象确定
一、定级对象的三个条件 承载相对独立的业务应用
公安部 信息安全 等级保护 评估中心
– 定级对象承载“相对独立”的业务应用是指 其中的一个或多个业务应用的主要业务流程、 部分业务功能独立,同时与其他信息系统的 业务应用有少量的数据交换,定级对象可能 会与其他业务应用共享一些设备,尤其是网 络传输设备。“相对独立”的业务应用并不 意味着整个业务流程,可以使完整的业务流 程的一部分。
信息安全
重要信息系统保护人员培训指南 (Critical Information Infrastructure Protection Training:CIIPT)(V1.0)公安部信息安全等级保护评估中心二〇一一年九月0 前言随着我国信息化建设步伐的加快,信息系统建设已经达到了一个相当的规模,这些系统中承载着我国各行业的重要业务,正发挥越来越重要的作用,成为我国的关键信息基础设施(Critical Information Infrastructure)(或称为“重要信息系统”)。
这些关键信息基础设施的安全保护(Critical Information Infrastructure Protection:CIIP)越来越成为人们关注的焦点,其安全保护水平直接关系到我国公众利益、经济秩序和国家安全。
我国在信息安全保障方面正在全面实施信息安全等级保护制度,通过制度来保障我国重要信息系统的安全,通过制定一系列的政策、法规和标准,对重要信息系统的安全建设提出了明确的要求和指导意见。
信息安全等级保护制度需要信息系统的相关人员来实施,因此,人员培训是信息安全各项措施能否落实的关键。
中办发[2003]27号文件《国家信息化领导小组关于加强信息安全保障工作的意见》中提出了“加快信息安全人才培养,增强全民信息安全意识”的指导精神,强调了信息安全人才培养的重要性。
为了保障重要信息系统的安全建设和运行维护,重要信息系统的相关人员需要深入理解等级保护政策、标准和工作方法。
因此,有必要围绕重要信息系统的安全保护开展针对运营使用单位、安全服务提供商、IT行业相关人员的培训工作,在各部门、各行业中广泛开展和普及等级保护相关政策、标准、要求和方法。
让更多的人意识到等级保护制度对于我国重要系统安全稳定运行的重要性,并严格依据国家相关要求在信息系统规划设计、工程实施、运行维护和测评自查等各个环节中保障各项安全措施的贯彻落实。
公安部信息安全等级保护评估中心(以下简称“评估中心”)是由公安部为建立信息安全等级保护制度,构建国家信息安全保障体系而专门批准成立的专业技术支撑机构,目前,受国家信息安全等级保护工作协调小组办公室委托,正在开展信息安全等级测评师的培训、考试和发证工作。
公安部信息系统安全等级保护证书
公安部信息系统安全等级保护证书公安部信息系统安全等级保护证书: 从简到繁,由浅入深的探讨一、引言信息系统安全是当今社会面临的一个重要挑战。
随着技术的发展和数字化的进程,人们越来越依赖各种信息系统来处理和存储数据。
黑客和网络攻击者的技术也在不断进步,给信息系统带来了巨大的安全风险。
公安部信息系统安全等级保护证书应运而生,为保护国家的信息资产和保障社会的稳定起到了重要的作用。
本文将对公安部信息系统安全等级保护证书进行全面评估和深入探讨,以便读者能够全面、深刻和灵活地理解该证书的意义和背景。
二、公安部信息系统安全等级保护证书概述公安部信息系统安全等级保护证书是一种由中国公安部颁发的,对信息系统安全等级进行评估和认证的证书。
该证书可以证明一个信息系统在安全性能、可信度和可用性方面已经通过了严格的安全等级评估。
公安部信息系统安全等级保护证书由五个等级组成,分别为一级至五级,级别越高代表系统的安全性能越高。
获得该证书对于政府机构、金融机构以及其他关键信息系统的所有者来说,是一种重要的认可和信任。
三、公安部信息系统安全等级保护证书的重要性和价值1. 信息系统的安全性是保障国家安全的重要一环。
在当今信息化社会,各个国家都面临着来自黑客、网络攻击者以及各种内外部威胁的挑战。
公安部信息系统安全等级保护证书的出现,能够对信息系统进行权威的评估和认证,提高系统的安全性能,保护国家的信息资产和关键基础设施不受攻击和破坏。
2. 公安部信息系统安全等级保护证书是信息系统服务提供商和政府机构的信任凭证。
对于信息系统服务提供商来说,获得公安部信息系统安全等级保护证书可以证明其系统的安全性能达到了一定标准,增加了客户对其服务的信任度。
对于政府机构来说,通过使用获得该证书的信息系统,可以提高自身的安全保障水平,保护重要数据和信息的安全。
3. 公安部信息系统安全等级保护证书的出现推动了信息系统安全技术的发展和创新。
获得公安部信息系统安全等级保护证书需要满足一系列的安全要求和技术标准,这促使信息系统服务提供商和相关企业不断研发新的安全技术和解决方案,以满足评估的要求。
信息系统安全等级保护定级指南
前言本标准由公安部和全国信息安全标准化技术委员会提出。
本标准由全国信息安全标准化技术委员会归口。
本标准起草单位:公安部信息安全等级保护评估中心。
本标准主要起草人:任卫红、曲洁、马力、朱建平、李明、李升、谢朝海、毕马宁、陈雪秀。
引言依据《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号),制定本标准。
本标准是信息安全等级保护相关系列标准之一。
与本标准相关的系列标准包括:——GB/T BBBBB-BBBB信息系统安全等级保护基本要求;——GB/T CCCCC-CCCC信息系统安全等级保护实施指南;——GB/T DDDDD-DDDD信息系统安全等级保护测评准则。
本标准依据等级保护相关管理文件,从信息系统所承载的业务在国家安全、经济建设、社会生活中的重要作用和业务对信息系统的依赖程度这两方面,提出确定信息系统安全保护等级的方法。
信息系统安全等级保护定级指南1 范围本标准规定了信息系统安全等级保护的定级方法,适用于为信息系统安全等级保护的定级工作提供指导。
2 规范性引用文件下列文件中的条款通过在本标准的引用而成为本标准的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。
凡是不注明日期的引用文件,其最新版本适用于本标准。
GB/T 5271.8 信息技术词汇第8部分:安全GB17859-1999 计算机信息系统安全保护等级划分准则3 术语和定义GB/T 5271.8和GB17859-1999确立的以及下列术语和定义适用于本标准。
3.1等级保护对象 target of classified security信息安全等级保护工作直接作用的具体的信息和信息系统。
中关村信息安全测评联盟信息系统安全等级保护测评能力验证活动在京举行
主任 ,C N A S  ̄力验证处韩京城 副处长 ,C N A S 检验机 构处刘 丽东副处长等领导
莅临现场参观 指导。 本次能力验证 活动是信息安全检测检验领域 内的一次规模空前 的盛会 , 来 自全 国2 9 个省市 、 自 治 区的1 2 1 家联盟成员 和2 2 家C N A S 认可 的检验机 构 , 共 计1 4 3 家单位参加 了本次活动 ,几乎汇集 了国内该领域 的全部专业技术力量。本次 能力验证也是在公安部 网络安全保卫局及各 地公安机关指导下 的一次大 比武和大练兵 ,是对信 息安全等 级测评队伍技术能力和实战水平 的一次全面检验 。联盟将通过能力验证进一 步规范信息系统安全测评方法和结果的一致性 , 及 时发
防护 ,且用户可按 需任意扩展 ,动态部署 和迁移部署 ,从 而可节省约
8 0 %的运维成本。据悉 , “ 山石云 ・ 格 ”已经在政府工业园区 、商业银 行 等不同行业用 户 的典 型场景进行 了前期 验证测试 ,用 户均给予 了 良
此次科来 提供 的U P M 业 务性能 管理解决 方
息安全领域的能力认 定与体 系建设 的新模式 ,为我国网络与信息安全 队伍建设和能力建设做出重要贡献 。 中关村信 息安全测评联 盟是在公安部 网络安全保 卫局指导下 以国家信 息安 全等级保护测评体 系为基础 建立的社会 团体 。经 过
多年的不懈努力 , 联 盟已经成 长为一支战斗在 网络与信息安全一线的不可忽视 的技术力量 。经初步统计 ,联盟已完成了近万个信 息 系统的安全测评 ,涵盖了电信 、广 电、能源 、交通 、水利 、金融等各个行业 ,涉及生产作业 、 指挥调度 、管理控制和公众服务等各 个业务类型 ,在国家基础网络和重要信息系统安全保护工作中发挥了不可替 代的作用 。联盟将继续努力 ,不断提升 自身的技术能力 和服务水平 ,以构建我 国最具权威 的信息安全测评体系为 目 标, 继续 为实现 国家 网络与信息安全战略做出重要贡献 。
信息安全技术—网络安全等级保护基本要求
2019年实施的中国国家标准
01 制定过程
03 内容范围 05 意义价值
目录
02 标准目次 04 引用文件
《信息安全技术—网络安全等级保护基本要求》(GB/T 22239-2019)是2019年12月1日实施的一项中国国 家标准,归口于全国信息安全标准化技术委员会。
标准目次
参考资料:
ቤተ መጻሕፍቲ ባይዱ
内容范围
《信息安全技术—网络安全等级保护基本要求》(GB/T 22239-2019)规定了第一级到第四级等级保护对象 的安全保护的基本要求,每个级别的基本要求均由安全通用要求和安全扩展要求构成。
安全要求细分为技术要求和管理要求。其中技术要求部分为“安全物理环境”、“安全通信网络”、“安全 区域边界”、“安全计算环境”、“安全管理中心”;管理要求部分为“安全管理制度”、“安全管理机构”、 “安全管理人员”、“安全建设管理”、“安全运维管理”,两者合计共分为10大类。
《信息安全技术—网络安全等级保护基本要求》(GB/T 22239-2019)规定了网络安全等级保护的第一级到 第四级等级保护对象的安全通用要求和安全扩展要求。该标准适用于指导分等级的非涉密对象的安全建设和监督 管理。
制定过程
1
修订背景
2
编制进程
3
修订依据
4
修订情况
5
起草工作
《信息安全技术—信息系统安全等级保护基本要求》(GB/T22239-2008)在中国推行信息安全等级保护制度 的过程中起到了非常重要的作用,被广泛应用于各个行业或领域指导用户开展信息系统安全等级保护的建设整改、 等级测评等工作。但是随着信息技术的发展,采用新技术、新应用构建的云计算平台、移动互联接入、物联网、 工业控制系统和大数据应用等系统的大量出现,已有10年历史的这三项标准在时效性、易用性、可操作性上需要 进一步修订完善。同时,2017年6月1日,《网络安全法》正式实施,进一步明确了网络安全等级保护制度的法律 地位,网络安全等级保护对象、保护措施要求、范围等都发生了很大的变化,需要修订原来的标准,以适应网络 安全等级保护制度要求。
信息系统安全等级保护实施指南
目次前言 (III)引言 (IV)1 范围 (1)2 规范性引用文件 (1)3 术语和定义 (1)4 等级保护实施概述 (1)4.1 基本原则 (1)4.2 角色和职责 (1)4.3 实施的基本流程 (2)5 信息系统定级 (4)5.1 信息系统定级阶段的工作流程 (4)5.2 信息系统分析 (4)5.2.1 系统识别和描述 (4)5.2.2 信息系统划分 (5)5.3 安全保护等级确定 (6)5.3.1 定级、审核和批准 (6)5.3.2 形成定级报告 (6)6 总体安全规划 (7)6.1 总体安全规划阶段的工作流程 (7)6.2 安全需求分析 (8)6.2.1 基本安全需求的确定 (8)6.2.2 额外/特殊安全需求的确定 (9)6.2.3 形成安全需求分析报告 (9)6.3 总体安全设计 (10)6.3.1 总体安全策略设计 (10)6.3.2 安全技术体系结构设计 (10)6.3.3 整体安全管理体系结构设计 (11)6.3.4 设计结果文档化 (12)6.4 安全建设项目规划 (12)6.4.1 安全建设目标确定 (13)6.4.2 安全建设内容规划 (13)6.4.3 形成安全建设项目计划 (14)7 安全设计与实施 (15)7.1 安全设计与实施阶段的工作流程 (15)7.2 安全方案详细设计 (16)7.2.1 技术措施实现内容设计 (16)7.2.2 管理措施实现内容设计 (16)7.2.3 设计结果文档化 (17)7.3 管理措施实现 (17)7.3.1 管理机构和人员的设置 (17)7.3.2 管理制度的建设和修订 (17)7.3.3 人员安全技能培训 (18)7.3.4 安全实施过程管理 (18)7.4 技术措施实现 (19)IGB/T XXXX –XXXX7.4.1 信息安全产品采购 (19)7.4.2 安全控制开发 (20)7.4.3 安全控制集成 (20)7.4.4 系统验收 (21)8 安全运行与维护 (22)8.1 安全运行与维护阶段的工作流程 (22)8.2 运行管理和控制 (23)8.2.1 运行管理职责确定 (23)8.2.2 运行管理过程控制 (24)8.3 变更管理和控制 (24)8.3.1 变更需求和影响分析 (24)8.3.2 变更过程控制 (25)8.4 安全状态监控 (25)8.4.1 监控对象确定 (25)8.4.2 监控对象状态信息收集 (26)8.4.3 监控状态分析和报告 (26)8.5 安全事件处置和应急预案 (26)8.5.1 安全事件分级 (27)8.5.2 应急预案制定 (27)8.5.3 安全事件处置 (27)8.6 安全检查和持续改进 (28)8.6.1 安全状态检查 (28)8.6.2 改进方案制定 (29)8.6.3 安全改进实施 (29)8.7 等级测评 (29)8.8 系统备案 (30)8.9 监督检查 (30)9 信息系统终止 (30)9.1 信息系统终止阶段的工作流程 (30)9.2 信息转移、暂存和清除 (31)9.3 设备迁移或废弃 (31)9.4 存储介质的清除或销毁 (32)附录A(规范性附录)主要过程及其活动输出 (33)II前言本标准的附录A是规范性附录。
【等级保护】公安部信息安全等级保护评估中心
信息系统
3
属于党政机关,处理国家事务的信息系统
2021/5/7
2021/5/7
公安部信息安全等级保护评估中心 20 20
确定业务数据安全性
业务数据安全性等级矩阵
业务数据类型
信息系统类型
1
2
3
1
1
2
2
2
2
3
3
3
4
4
2021/5/7
2021/5/7
公安部信息安全等级保护评估中心 21 21
确定信息系统安全保护等级
2021/5/7
2021/5/7
公安部信息安全等级保护评估中心 31 31
安全目标
每一级的安全目标与威胁之间存在对 应关系,每个威胁至少被一个安全目标所 覆盖;反过来,每个安全目标至少覆盖一 个威胁。
一级具有15个技术目标,16个管理目 标;二级具有29个技术目标,25个管理目 标;三级具有36个技术目标,27个管理目 标;四级具有41个技术目标,28个管理目 标。
2021/5/7
2021/5/7
公安部信息安全等级保护评估中心 29 29
整体保护能力--威胁分类
威胁分类
自然、环境威胁 技术故障威胁 人员错误 恶意攻击
2021/5/7
2021/5/7
公安部信息安全等级保护评估中心 30 30
整体保护能力--威胁分级描述
不同级别对抗的威胁的种类不同
对于同类威胁,不同级别对抗的 具体威胁的破坏能力也不同。
公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心201010234安全要求的增加安全要求的增强公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心201010235安全技术要求物理安全网络安全主机安全应用安全数据安全公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心201010236公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心201010237公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心201010238公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心201010239公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心201010240公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心201010241安全管理安全管理机构安全管理制度人员安全管理系统建设管理系统运维管理公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心201010242系统规划管理机构和人员政策和制度系统设计管理系统实施管理系统运维管理系统废弃管理指导限制执行监督公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心201010243信息系统的生命周期管理人员管理制度系统变更管理机构公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心201010244管理活动控制点的增加每个控制点具体管理要求的增多管理活动的能力逐步加强借鉴能力成熟度模型cmm一级非正式执行二级计划和跟踪三级良好定义四级持续改进公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心201010245公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心201010246公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心201010247公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心201010248系统定级安全风险评估安全方案设计产品采购自行开发设计外包开发设计工程实施测试验收系统交付安全测评系统备案安全服务商选择公安部信息安全等级保护评估中心公安部信息安全等级保护评估中心201010249环境管理资产管理介质管理设备使用管理运行维护和监控管理网络安全管理系统安全管理恶意代码防护管理密码管理变更管理备份和恢复管理安全事件处臵应急计划管理公安部公安部信息安全信息安全等级保护等级保护评估中心评估中心公安部信息安全等级保护评估中心公安
《信息系统安全等级保护基本要求》
信息系统安全等级保护基本要求中华人民共和国国家标准GB/T 22239-2008《信息安全技术信息系统安全等级保护基本要求(GB/T 22239-2008)》由公安部和全国信息安全标准化技术委员会提出,由全国信息安全标准化技术委员会归口,起草单位:公安部信息安全等级保护评估中心。
引言依据《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号),制定本标准。
本标准是信息安全等级保护相关系列标准之一。
与本标准相关的系列标准包括:——GB/T AAAA-AAAA 信息安全技术信息系统安全等级保护定级指南;——GB/T CCCC-CCCC 信息安全技术信息系统安全等级保护实施指南。
本标准与GB17859-1999、GB/T 20269-2006 、GB/T 20270-2006 、GB/T 20271-2006 等标准共同构成了信息系统安全等级保护的相关配套标准。
其中GB17859-1999是基础性标准,本标准、GB/T20269-2006、GB/T20270-2006、GB/T20271-2006等是在GB17859-1999基础上的进一步细化和扩展。
本标准在GB17859-1999、GB/T20269-2006、GB/T20270-2006、GB/T20271-2006等技术类标准的基础上,根据现有技术的发展水平,提出和规定了不同安全保护等级信息系统的最低保护要求,即基本安全要求,基本安全要求包括基本技术要求和基本管理要求,本标准适用于指导不同安全保护等级信息系统的安全建设和监督管理。
在本标准文本中,黑体字表示较低等级中没有出现或增强的要求。
信息系统安全等级保护基本要求1范围本标准规定了不同安全保护等级信息系统的基本保护要求,包括基本技术要求和基本管理要求,适用于指导分等级的信息系统的安全建设和监督管理。
信息安全等级保护测评体系建设与测评工作规范性文件.
能够按照报告编制要求整理测评数据.
b)中级等级测评师
熟悉信息安全等级保护相关政策、法规;
正确理解信息安全等级保护标准体系和主要标准内容,能够跟踪国内、国际信息安全相关标准的发展;
掌握信息安全基础知识,熟悉信息安全测评方法,具有信息安全技术研究的基础和实践经验;
信息安全等级测评机构能力要求使用说明
1
本规范规定了测评机构的能力要求.
本规范适用于测评机构的建设和管理以及对测评机构能力进行评估等活动。
2
2.1
等级测评是指测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。
2.2
等级测评机构,是指具备测评机构基本条件,经能力评估和审核,由省级以上信息安全等级保护工作协调(领导)小组办公室推荐,从事等级测评工作的机构。
c)产品研制、生产单位及其主要业务、技术人员无犯罪记录;
d)产品研制、生产单位声明没有故意留有或者设置漏洞、后门、木马等程序和功能;
e)对国家安全、社会秩序、公共利益不构成危害。
f)信息安全产品应获得公安部计算机信息安全产品销售许可证.
说明:
机构应保证其所配备的防火墙、IDS等安全产品获得销售许可证。
说明:
1。测评人员应严格按照《信息系统安全等级测评报告模版(试行)》编制测评报告.
2。应通过评审、论证等手段对测评报告中的结果判断、问题分析、测评结论等内容的正确性进行确认。
6
6.1
a)产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的,在中华人民共和国境内具有独立的法人资格;
b)产品的核心技术、关键部件具有我国自主知识产权;
信息安全技术 信息系统安全等级保护实施指南
信息安全技术 信息系 安全等级保护实施指南
主机安全检查系 ThreatDiscoverySystem
首页
Home
产品特点
Products & Featurn
当前位置: 首页 >> 相关标准
服务支持
Service & Support
信息安全技术 信息系 安全等级保护实施指南
5 信息系统定级 5.1 信息系定级阶段的工作流程 信息系统定级阶段的目标是信息系统运营、使用单位按照国家有关管理规范和GB/T AAAA-AAAA,确定信 息系统的安全保护等级,信息系统运营、使用单位有主管部门的,应当经主管部门审核批准。
5.2 信息系统分析 5.2.1 系统识别和描述
/biaozhun/2/index.html
联系我们
Contact us
信息系统安全等级保护实施指南
1 范围 本标准规定了信息系统安全等级保护实施的过程,适用于指导信息系统安全等级保护的实施。 2 规范性引用文件 下 列文件中的条款通过在本标准中的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的 修改单(不包括勘误的内容)或修订版均不适用于本标准,然 而, 励根据本标准达成协议的各方研究是否 使用这些文件的最新版本。凡是不注明日期的引用文件,其最新版本适用于本标准。 GB/T 5271.8 信息技术词汇第8部分:安全 GB17859-1999 计算机信息系统安全保护等级划分准则 GB/T AAAA-AAAA 信息安全技术信息系统安全等级保护定级指南 3 术语和定义
2/19
17-2-8
信息安全技术 信息系 安全等级保护实施指南
活动目标: 本活动的目标是通过从信息系统运营、使用单位相关人员处收集有关信息系统的信息,并对信息进行综合 分析和整理,依据分析和整理的内容形成组织机构内信息系统的总体描述性文档。 参与角色:信息系统运营、使用单位,信息安全服务机构。 活动输入:信息系统的立项、建设和管理文档。 活动描述: 本活动主要包括以下子活动内容: a) 识别信息系统的基本信息 调查了解信息系统的行业特征、主管机构、业务范围、地理位置以及信息系统基本情况,获得信息系统的 背景信息和联络方式。 b) 识别信息系统的管理框架 了解信息系统的组织管理结构、管理策略、部门设置和部门在业务运行中的作用、岗位职责,获得支持信 息系统业务运营的管理特征和管理框架方面的信息,从而明确信息系统的安全责任主体。 c) 识别信息系统的网络及设备部署 了解信息系统的物理环境、网络拓扑结构和硬件设备的部署情况,在此基础上明确信息系统的边界,即确 定定级对象及其范围。 d) 识别信息系统的业务种类和特性 了解机构内主要依靠信息系统处理的业务种类和数量,这些业务各自的社会属性、业务内容和业务流程 等,从中明确支持机构业务运营的信息系统的业务特性,将承载比较单一的业务应用或者承载相对独立的业务 应用的信息系统作为单独的定级对象。 e) 识别业务系统处理的信息资产 了解业务系统处理的信息资产的类型,这些信息资产在保密性、完整性和可用性等方面的重要性程度。 f) 识别用户范围和用户类型 根据用户或用户群的分布范围了解业务系统的服务范围、作用以及业务连续性方面的要求等。 g) 信息系统描述 对收集的信息进行整理、分析,形成对信息系统的总体描述文件。一个典型的信息系统的总体描述文件应 包含以下内容: 1) 系统概述; 2) 系统边界描述; 3) 网络拓扑; 4) 设备部署; 5) 支撑的业务应用的种类和特性; 6) 处理的信息资产; 7) 用户的范围和用户类型; 8) 信息系统的管理框架。 活动输出: 信息系统总体描述文件。 5.2.2 信息系统划分 活动目标: 本活动的目标是依据信息系统的总体描述文件,在综合分析的基础上将组织机构内运行的信息系统进行合 理分解,确定所包含可以作为定级对象的信息系统的个数。 参与角色:信息系统运营、使用单位,信息安全服务机构。 活动输入:信息系统总体描述文件。 活动描述: 本活动主要包括以下子活动内容: a) 划分方法的选择 一个组织机构可能运行一个大型信息系统,为了突出重点保护的等级保护原则,应对大型信息系统进行划 分,进行信息系统划分的方法可以有多种,可以考虑管理机构、业务类型、物理位置等因素,信息系统的运 营、使用单位应该根据本单位的具体情况确定一个系统的分解原则。 b) 信息系统划分 依据选择的系统划分原则,将一个组织机构内拥有的大型信息系统进行划分,划分出相对独立的信息系统 并作为定级对象,应保证每个相对独立的信息系统具备定级对象的基本特征。在信息系统划分的过程中,应该 首先考虑组织管理的要素,然后考虑业务类型、物理区域等要素。 c) 信息系统详细描述 在对信息系统进行划分并确定定级对象后,应在信息系统总体描述文件的基础上,进一步增加信息系统划 分信息的描述,准确描述一个大型信息系统中包括的定级对象的个数。 进一步的信息系统详细描述文件应包含以下内容: 1) 相对独立信息系统列表; 2) 每个定级对象的概述; 3) 每个定级对象的边界; 4) 每个定级对象的设备部署; 5) 每个定级对象支撑的业务应用及其处理的信息资产类型; 6) 每个定级对象的服务范围和用户类型; 7) 其他内容。 活动输出: 信息系统详细描述文件。 5.3 安全保护等级确定 5.3.1 定级、审核和批准
等级保护工作中的重点和难点
系统定级-等级的概念 -信息系统重要程度的等级
在《管理办法》中,明确了“信息系统的安全 保护等级应当根据信息系统在国家安全、经济 建设、社会生活中的重要程度,信息系统遭到 破坏后对国家安全、社会秩序、公共利益以及 公民、法人和其他组织的合法权益的危害程度 等因素确定”
系统定级-等级的概念 -信息系统重要程度的等级
相关部门的责任和义务
职能部门:制定管理规范和技术标准 ,组织实施,开展 监督、检查、指导。
行业主管部门:督促、检查、指导本行业、本部门开展 等级保护工作。
运营使用单位:开展信息系统定级、备案、建设整改、 等级测评、自查等工作,落实等级保护制度的各项要求。
安全服务机构:开展技术支持、服务等工作,并接受监 管部门的监督管理。
在
安
等 级 保 护 有 关 政 策
全 建 设 整 改 工 作 中 的
作
用
等级保护政策体系
1、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号) 2、《信息安全等级保护管理办法》公通字[2007]43号) 3、《关于开展全国重要信息系统安全等级保护定级工作的通知》(公通
字[2007]861号) 4、《信息安全等级保护备案实施细则》(公信安[2007]1360号) 5、《关于开展信息系统等级保护安全建设整改工作的指导意见》公信安
全国重要信息系统安全等级保护定级工作开展以来, 各地区、各部门高度重视,按照定级工作的要求, 认真组织落实,到2009年,基本完成了定级工作任务。
系统定级-等级的概念
先后在《划分准则》、《基本要 求》等技术标准和《管理办法》 等文件中出现了多个有关等级的 概念
系统定级-等级的概念
等级的概念首先出现在国家标准《划分准则》中 从安全保护能力角度,根据安全功能的实现情况,将计
_信息安全技术__网络安全等级保护28448_2019_标准解读_
《信息安全技术网络安全等级保护测评要求》(G B/T28448-2019)标准解读0引言信息系统等级保护系列国家标准在我国推行信息安全工作开展过程中发挥了重要作用,被广泛应用于网络安全职能部门、各行业和领域的网络安全管理部门及等级测评机构开展系统定级、安全建设整改、等级测评、安全自查和安全监督检查等相关工作。
但随着IT技术的飞速发展,特别是在云计算、移动互联、物联网、工业控制和大数据等新技术、新应用环境下,GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》和GB/T28448-2012《信息安全技术信息系统安全等级保护测评要求》在应用过程中遇到了一些新的问题,在适用性、时效性、易用性、可操作性上需要进一步完善。
2017年6月1日颁布实施的《中华人民共和国网络安全法》也要求各网络安全职能部门、各行业和领域的网络安全管理部门等配合落实国家网络安全等级保护制度,需要同时对GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》和GB/T28448-2012《信息安全技术信息系统安全等级保护测评要求》进行修订。
为适应我国网络安全等级保护工作发展的需要,进一步与新版的GB/T22239-2019相协调,有必要对GB/T28448-2012进行修订。
2014年,公安部第三研究所(公安部信息安全等级保护评估中心)根据国家标准编号制修订计划,牵头组织了对GB/T28448-2012的修订工作,前后共有20多家单位、70多人参与修订工作。
修订工作历经调查研究、草案形成、征求意见稿、送审稿和报批稿等过程,收到了各行业职能部门、用户、专家的宝贵意见。
2019年,《信息安全技术网络安全等级保护测评要求》(GB/T28448-2019)国家标准正式实施。
本文分析了GB/T28448-2019发生的主要变化,解读其内容修订和等级测评工作变化等主要内容,以便读者更好地了解和掌握GB/T28448-2019的内容标准主要内容变化0.1标准文本结构变化GB/T28448-2019标准文本分为12章,3个附录。
等级保护测评师培训及考试指南
等级测评师培训及考试指南为加强信息安全等级保护测评机构建设和管理,规范等级测评活动,保障信息安全等级保护测评工作的顺利开展,公安部下发了《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》(公信安[2010]303号),对等级测评工作、等级测评机构建设以及等级测评人员进行了规范和要求。
要求开展等级测评的人员参加专门培训和考试,并取得《信息安全等级测评师证书》(等级测评师分为初级、中级和高级)。
等级测评人员需持等级测评师证上岗。
公安部信息安全等级保护评估中心(以下简称“评估中心”)是由公安部为建立信息安全等级保护制度,构建国家信息安全保障体系而专门批准成立的专业技术支撑机构,评估中心受国家信息安全等级保护工作协调小组办公室委托,对从事等级测评的人员进行培训和考试,对考试合格人员颁发相应的《信息安全等级测评师》证书。
1.等级测评师的分类及能力要求信息安全等级测评师分为初级等级测评师、中级等级测评师和高级等级测评师三级。
其中,初级等级测评师又分为技术和管理两类。
三级等级测评师能力要求如下:•初级等级测评师o了解信息安全等级保护的相关政策、标准;o熟悉信息安全基础知识;o熟悉信息安全产品分类,了解其功能、特点和操作方法;o掌握等级测评方法,能够根据测评指导书客观、准确、完整地获取各项测评证据;o掌握测评工具的操作方法,能够合理设计测试用例获取所需测试数据;o能够按照报告编制要求整理测评数据。
•中级等级测评师o熟悉信息安全等级保护相关政策、法规;o正确理解信息安全等级保护标准体系和主要标准内容,能够跟踪国内、国际信息安全相关标准的发展;o掌握信息安全基础知识,熟悉信息安全测评方法,具有信息安全技术研究的基础和实践经验;o具有较丰富的项目管理经验, 熟悉测评项目的工作流程和质量管理的方法,具有较强的组织协调和沟通能力;o能够独立开发测评指导书,熟悉测评指导书的开发、版本控制和评审流程;o能够根据信息系统的特点,编制测评方案,确定测评对象、测评指标和测评方法;o具有综合分析和判断的能力,能够依据测评报告模板要求编制测评报告,能够整体把握测评报告结论的客观性和准确性。
信安标委会.
– – – – – – –
1.适用范围 2.规范性引用文件 3术语定义 4.等级保护概述 5. 6.7.8.9基本要求 附录A 关于信息系统整体安全保护能力的要求 附录B 基本安全要求的选择和使用
2018/9/7
基本要求的组织方式
某级系统 基本要求
公安部 信息安全 等级保护 公安部 评估中心 信安标委会
2018/9/7
《管理办法》”等级保护的实施与管理“第十三条
运营、使用单位应当参照《信息安全技术信息
公安部 信息安全 等级保护 公安部 评估中心 信安标委会
系统安全管理要求》(GB/T20269-2006)、 《信息安全技术信息系统安全工程管理要求》 (GB/T20282-2006)、《信息系统安全等级保 护基本要求》等管理规范,制定并落实符合本 系统安全保护等级要求的安全管理制度。
2018/9/7
《基本要求》的作用
信息系统安全等级保护基本要求
公安部 信息安全 等级保护 公安部 评估中心 信安标委会
运营、使用单位 (安全服务商) 主管部门 (等级测评机构)
安全保护
2018/9/7
测评检查
《基本要求》的定位
是系统安全保护、等级测评的一个基本“标
公安部 信息安全 等级保护 公安部 评估中心 信安标委会
2018/9/7
不同级别的安全保护能力要求
第一级安全保护能力
– 应能够防护系统免受来自个人的、拥有很少资源(如利用 公开可获取的工具等)的威胁源发起的恶意攻击、一般的 自然灾难(灾难发生的强度弱、持续时间很短等)以及其 他相当危害程度的威胁(无意失误、技术故障等)所造成 的关键资源损害,在系统遭到损害后,能够恢复部分功能。
技术要求
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2020/5/10
11
3、 信息系统安全等级保护制度实施方法
公安部 信息安全 等级保护 评估中心
计划在五年左右的时间在全 国范围内分三个阶段实施信息安 全等级保护制度:
1、准备阶段
2、试行阶段
3、全面实行阶段
2020/5/10
12
4、 等级化系统的建设
公安部 信息安全 等级保护 评估中心
信息系统等级的划分方法(自主评 级)
2020/5/10
7
3、 信息系统安全等级保护制度实施方法
公安部 信息安全 等级保护 评估中心
首先,公安、国家保密、国家密码 管理、技术监督、信息产业等国家有关 信息网络安全的行政主管部门要在国家 信息化领导小组的统一领导下,制定我 国开展信息网络安全等级保护工作的发 展政策,统一制定针对不同安全保护等 级的管理规定和技术标准,对不同信息 网络确定不同安全保护等级和实施不同 的监督管理措施,既包括依法进行行政 监督、检查和指导,也包括依据国家技 术标准进行的技术检查和评估。
公安部 信息安全 等级保护 评估中心
27号文件进一步明确了我国的基 础信息网络和关系国家安全、经 济命脉、社会稳定等方面的重要 信息系统实行等级保护制度;
同时要求等级保护工作需要各部 门根据职能分工、协同配合。
2020/5/10
3
1、 等级保护是国家基本政策
公安部 信息安全 等级保护 评估中心
贯彻27号文件 积极推进信息系统等级建设
公安部 信息系统 安全等级 保护评估
中心
朱建平
公安部信息安全等级保护评估中心
公安部 信息系统 安全等级 保护评估
中心
目录
1 等级保护是国家基本政策 2 建立国家信息安全等级保护机制 3 信息系统安全等级保护制度实施方法 4 等级化系统的建设
1、 等级保护是国家基本政策
2020/5/10
6
2、建立国家信息安全等级保护机制
公安部 信息安全 等级保护 评估中心
4.结果控制:建立非盈利并能够覆盖全国的系 统安全等级保护的执法检查与评估体系,使用统 一标准和工具开展系统安全等级保护检查评估工 作。
5.监督管理:公安机关依法行政,督促安全等 级保护责任制的落实,以等级保护标准监督、检 查、指导基础信息网络和重要信息系统安全等级 保护建设、管理。对安全等级技术产品实行监管, 对监测评估机构实施监管。政府其他职能部门应 当认真履行职责,依法行政,按职责开展信息安 全等级保护专项制度建设工作,完善信息安全监 督体系。
实施步骤:
业务影响分析、划分子系统 确定子系统边界 确定安全保护等级 子系统间访问关系的模型化 安全风险分析与控制措施调整 确定系统保护安全计划 系统等级和安全计划的批准
2020/5/10
13
5 等级化系统的建设
公安部 信息安全 等级保护 评估中心
等级保护第一级
第一级安全的信息系统具备对信息和系统进行基 本保护的能力。
在技术方面,第一级要求设置基本的安全功能, 使信息免遭非授权的泄露和破坏,能保证基本安全的系 统服务。
在安全管理方面,第一级要求根据机构自身安全 需求,为信息系统正常运行提供基本的安全管理保障。
2020/5/10
145 等级化系统的建设源自公安部 信息安全 等级保护 评估中心
等级保护第二级
第二级安全的信息系统具备对信息和系统进行比 较完整的系统化的安全保护能力。
2020/5/10
8
3、 信息系统安全等级保护制度实施方法
公安部 信息安全 等级保护 评估中心
其次,等级保护坚持“谁主 管、谁负责;谁经营、谁负责; 谁建设、谁负责;谁使用、谁负 责。”的原则。
2020/5/10
9
3、 信息系统安全等级保护制度实施方法
公安部 信息安全 等级保护 评估中心
第三,等级保护实行“国家 主导;重点单位强制,一般单位 自愿;高保护级别强制,低保护 级别自愿”的监管原则。
2020/5/10
5
2、建立国家信息安全等级保护机制
公安部 信息安全 等级保护 评估中心
1.法律规范:国家制定和完善信息安全等级保 护政策、法律规范以及组织实施规则和方法,完善信 息安全保护法律体系;
2.管理与技术规范:制定符合国情的标准,建立 等级保护体系;
3.实施过程控制:明确落实系统拥有者的安全 责任制,系统拥有者按法律规定和安全等级标准的 要求进行信息系统的建设和管理,并承担应急管理 责任,在信息系统生命周期内进行自管、自查、自 评,建立安全管理体系。安全产品的研发者提供符 合安全等级标准要求的技术产品。
在技术方面,第二级要求采用系统化的设计方法, 实现比较完整的安全保护,并通过安全审计机制,使其 它安全机制间接地相连接,使信息免遭非授权的泄露和 破坏,保证一定安全的系统服务。
在安全管理方面,第二级要求建立必要的信息系 统安全管理制度,对安全管理和执行过程进行计划、管 理和跟踪。根据实际安全需求,明确机构和人员的相应 责任。
2020/5/10
10
3、 信息系统安全等级保护制度实施方法
公安部 信息安全 等级保护 评估中心
第四,信息网络安全状况等级的 技术检测是等级保护的重点。
由国家授权的技术检测机构通过 技术检测来进行评定。技术检测机构 需取得国家主管部门的技术资质和授 权后,方可从事信息网络安全等级保 护的技术检测。
2020/5/10
4
2、建立国家信息安全等级保护机制
公安部 信息安全 等级保护 评估中心
国家实行信息安全等级保护,必须紧紧 抓住抓好五个关键环节,形成长效信息安全 等级保护运行机制。国家信息安全等级保护 制度运行机制有以下关键环节构成:
1.法律规范
2.管理与技术规范
3.实施过程控制
4.结果控制
5.监督管理。
信息安全等级保护是《中华人民共和国计算机信息系 统安全保护条例》规定的法定保护制度,具有强制性;
第二是以国家制度推进信息和信息系统安全保护责任 的落实;
第三是符合客观实际,具有科学性; 第四是具有自我保护与国家保护相结合的长效保护机
制; 第五是突出保护重点,国家优先重点保护涉及国计民
生的信息系统,国家基础信息网络和重要信息系统内 分级重点保护三级以上的局域网和子系统安全; 第六是具有整体保护性,在突出重点,兼顾一般的原 则下,着重加强重点、要害部位,由点到面进行保护, 逐步实现信息安全整体保障。