信息安全等级保护体系解读

信息安全等级保护工作的职责和角色
公安机关：非涉密信息系统等级 保护具体工作的监督、检查、指 导。 保密部门：涉密信息系统等保工 作的监督、检查、指导。 密码管理部门：密码工作的监督 、检查、指导。 国务院信息化工作办公室及地方 信息化领导小组办事机构：各部 门间的工作协调。
信息系统运营、使用单位：
国家安全
社会秩序和 公共利益
国家安全
国家安全
侵害程度 损害
严重损害 损害
严重损害 损害
特别严重损害 严重损害
特别严重损害
监管程度 自主保护 指导保护
监督检查
强制监督检查 专门监督检查
信息安全等级保护的政策和法律体系
信息安全等级保护工作
定级
备案
整改
测评
检查
《关于开 展全国重 要信息系 统安全等 级保护定 级工作的 通知》 （公信安 [2007]86 1号）
管理类
信息系统安全管理要求 信息系统安全工程管理要求
其它管理类标准
产品类
操作系统安全技术要求 数据库管理系统安全技术要求 网络和终端设备隔离部件安技术要求
其它产品类标准
计算机信息系统安全保护等级划分准则（GB17859）
信息安全等级保护所涉及的标准
通用类
1.《计算机信息系统安全等 级保护划分准则》 (GB17859) 2.《信息系统安全等级保护 实施指南》(GB/T25058) 3.《信息安全技术信息系统 安全等级保护基本要求》 (GB/T22239) 4.《信息安全技术信息系统 安全保护等级定级指南》 (GB/T22240) 5.《信息安全技术信息系统 安全等级保护测评要求》 6.《信息安全技术信息系统 安全等级保护测评过程指南 》 。。。。。。
安全管理类
1.《信息安全技术信息系 统安全管理要求》 (GB/T20269) 2.《信息安全技术信息系 统安全工程管理要求》 (GB/T20282) 3.《信息技术安全技术信 息安全事件管理指南》 (GB/Z20985) 4.《信息安全技术信息安 全事件分类分级指南》 (GB/Z20986) 。。。。。。
一般损害
严重损害 特别严重损害
第一级
第二级
第二级
第二级
第三级
第四级
第三级
第四级
第四级
定级流程
1.确定定级对象
2.确定业务信息安全受 到破坏时所侵害的客体
3.综合评定对客体的侵害程度
4.业务信息安全等级（S）
5.确定系统服务安全受 到破坏时所侵害的客体
6.综合评定对客体的侵害程度
7.系统服务安全等级（A）
信息安全等级保护—定级
定义
由信息系统运营单位确定信息系统的安全保护等级。
1
2
3
由运营单位业务部 门确定实施信息安 全等级保护的信息 系统。
参照定级标准和流 程获得信息等级的 安全保护等级信息。
最终形成信息系统 安全保护等级确认 报告。
定级参考信息
业务信息安全保护等级矩阵表
业务信息安全被破坏时所侵害的客体
够主动发出一些动作，如报警、阻断等，网络设备的防护手段要求两种身份鉴别技术综合使用
使用范围 安全计算环境
测评实施流程
Hale Waihona Puke Baidu
测
等级测评项目启动
评
准
信息收集与分析
备
活
工具和表单准备
动
测评对象确定
测评指标确定
方
案
测评内容确定
编
制
工具测评方法确定
沟
活 动
测评指导书开发
通
测评方案编制
与 洽
现 场
现场测评准备
谈
测
现场测评和结果记录
评
活
结果确认和资料归还
动
单项测评结果判定
报
单元测评结果判定
告
整体测评
编
制
风险分析
活 动
等保测评结论形成
EAL1 EAL2 EAL3 EAL4 EAL5
特别重大事件（I级） 重大事件（II级） 较大事件（III级） 一般事件（IV级）
信息系统安全保护等级的划分
等级 第一级 第二级
第三级
第四级 第五级
对象 一般系统
重要系统 极端重要系统
侵害客体
合法权益
合法权益
社会秩序和 公共利益 社会秩序和 公共利益
安全技术类
1.《信息系统等级保护安 全设计技术要求》 2.《信息安全技术网络基 础安全技术要求》 (GB/T20270) 3.《信息安全技术信息系 统安全通用技术要求》 (GB/T20271) 4.《信息安全技术信息系 统物理安全技术要求 (GB/T21052) 5.《信息安全技术服务器 安全技术要求》 (GB/T21028) 6.《信息安全技术操作系 统安全技术要求》 (GB/T20272) 7.《信息安全技术数据库 管理系统安全技术要求 》(GBT20273) 。。。。。。
《信息安 全等级保 护备案实 施细则》 （公信安 [2007]1 360号）
《关于开 展信息安 全等级保 护安全建 设整改工 作的指导 意见》 (公信安 [2009]1 429号)
《关于加 强国家电 子政务工 程建设项 目信息安 全风险评 估工作的 通知》 （发改高 技 [2008]207 1号）
《关于推 动信息安 全等级保 护测评体 系建设和 开展等级 测评工作 的通知》 （公信安 303号文）
公司、法人和其他组织的合法利益 社会秩序、公共利益 国家安全
对相应客体的侵害程度
一般损害
严重损害 特别严重损害
第一级
第二级
第二级
第二级
第三级
第四级
第三级
第四级
第四级
系统服务安全保护等级矩阵表
系统服务安全被破坏时所侵害的客体
公司、法人和其他组织的合法利益 社会秩序、公共利益 国家安全
对相应客体的侵害程度
安全通用技术要求
技术要求
网络和通信安全
设备与计算安全
网络架构
身份鉴别
通信传输
访问控制
边界防护
安全审计
访问控制
入侵防范
入侵防范
恶意代码防范
恶意代码防范
资源控制
安全设计
集中管控
应用和数据安全
身份鉴别 访问控制 安全审计 软件容错 资源控制 数据完整性 数据保密性 数据备份恢复 剩余信息保护 个人信息保护
关于印发 《信息系 统安全等 级测评报 告模版 （试行）》 的通知 （公信安 [2009]1 487号）
《公安机 关信息安 全等级保 护检查工 作规范》 （公信安 [2008]7 36号）
《信息安全等级保护管理办法》（公通字[2007]43号)
《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）
8.定级对象的安全保护等级 （SxAxGx）
信息安全等级保护—备案
定义
由信息系统运营单位持定级报告到当地公安机关网监 部门进行信息系统安全保护等级信息备案。
1
2
3
按照运营单位所在 地确定受理备案的 机构（省公安厅/ 市公安局）。
由运营单位填写信 息系统安全等级保 护备案表格。
提交备案表格，获 得备案回执信息 （通过审核/限期 整改）。
确定安全保护等级，安全保护的规 划设计，定级进行等保测评，建立 信息安全事件应急响应体系。
信息安全 等级保护
行业主管部门：负责依照国家信 息安全等级保护的管理规范和技 术标准，督促、检查和指导本行 业、本部门或者本地区信息系统 运营、使用单位的信息安全等级 保护工作。
测评机构： 对信息系统和信 息安全产品进行 等级保护测评， 出具测评结论。
安全等级
现
方
状 信息安全等级保护 法
分 安全建设整改工作 指
析
导
安全要求
信息系统安全等级保护基本要求的行业细则
信息系统安全等级保护基本要求
信息系 统安全 等级保 护实施 指南
信息系 统等级 保护安 全设计 技术要 求
技术类
信息系统通用安全技术要求 信息系统物理安全技术要求
网络基础安全技术要求 其它技术类标准
信息安全等级保护基本要求
技术要求
信息安全等级保护基本要求
管理要求
物理和环境安全 网络和通信安全 设备和计算安全 应用和数据安全
安全策略和管理制度 安全管理机构和人员
安全建设管理 安全运维管理 系统建设管理
物理和环境安全
物理位置的选择 物理访问控制 防盗窃和防破坏 防雷/火/水/潮
防静电 温湿度控制 电力供应 电磁防护
信息安全等级保护—测评
委托具备测评资质的第三方测评机构，对已定级的信息系统
定义 进行信息安全等级保护测评，并出具正式的测评报告和测评 结论。
1
2
3
明确被测评系统的 安全保护等级，制 定测评方案和实施 计划。
由运营单位配合完 成测评过程中的人 员访谈、配置检查、 安全测试等工作。
出具最终的测评报 告和测评结论（符 合/基本符合/不符 合）。
信息安全产品供应商： 开发符合等级保护相关要求的 信息安全产品，按照等级保护 相关要求销售信息安全产品并 提供相关服务。
信息安全服务机构： 协助信息系统运营、使用单位完 成安全保护等级、安全需求分析 、安全总体规划、实施安全建设 和安全改造等。
信息安全等级保护工作概述
2.持定级报告到当地公安 机关网监部门进行备案。
《中华人民共和国计算机信息系统安全保护条 例》(国务院147号令)
《国家信息化领导小组关于加强信息安全保障 工作的意见》（中办发[2003]27号）
信息安全等级保护技术和管理标准体系
信息系统安全等级保护定级指南 信息系统安全等级保护基本要求的定级细则
信息系 统安全 等级保 护测评 过程指 南
信息系 统安全 等级保 护测评 要求
三级
•是等级保护二级要求的扩展加强 •三级要求主干链路冗余，设备性能有冗余 •技术方面 •网络恶意代码防范、剩余信息保护、抗抵赖 •访问控制增加了对重要新信息资源设置敏感标记，对身份鉴别、访问控制、安全审计、数据完整性、数据保
密等均有更进一步的要求 •网络安全 •对网络处理能力增加了“优先级”考虑，保证重要主机能够在网络拥堵时仍能狗正常运行 •网络边界的访问控制扩展到应用层，网络边界的其他防护措施进一步增强，不仅能够被动的“防”，还应能
测评报告编制
信息安全等级保护—检查 定义 公安机关网监部门定期对信息系统运营单位的信息安全等级
保护实施情况进行检查和监督。
1
2
3
第三级信息系统每 年一次； 第四级信息系统每 半年一次。
检查内容包括：定 级备案情况、安全 整改情况、安全管 理制度建设和落实 情况、测评实施情 况等。
由公安机关网监部 门出具检查报告或 整改通知书。
典型等级保护安全技术方案
等级保护二/三级关键点说明
二级
•技术方面 •安全审计、边界完整性检查、入侵防范、资源控制以及通信保密性控制点 •网络安全 •不仅要满足网络安全运行的基本保障，同时要考虑网络处理能力要满足业务极限时的需要 •加强了网络边界的防护，增加了安全审计、边界完整性检查、入侵防范等控制点 •对网络设备的防护不仅局限于简单的身份鉴别，同时对标识和鉴别信息都有了相应的要求
信息安全等级保护体系解读
LOGO
内容概要
1
信息安全等级保护的定义
2
信息安全等级保护的内容
信息安全等级保护的定义
信息安全等级保护制度是我国信息安全工作保障工作的基本制 度和基本国策，是开展信息安全工作的基本方法，是促进信息化、 维护国家信息安全的基本保障。
信息系统
信息安全产品
信息安全事件
第一级安全保护 第二级安全保护 第三级安全保护 第四级安全保护 第五级安全保护
3.参照信息系统当前等 级要求和标准，对信息 系统进行整改加固。
1.确定信息系统的安全防护 等级，形成定级报告。
备案
整改
信息安全等级保护
定级
工作流程
检查
5.向当地公安机关网监部门提交 测评报告，配合完成对信息安全 等级保护实施情况的检查。
测评
4.委托具备测评资质的测评机 构对信息系统进行等级测评 ，形成正式的测评报告。
等保2.0
❖ 为了适应移动互联、云计算、大数据、物联网和工业控制等新技术、新应用、情况 下信息安全等级保护工作的开展，需对GB/T 2239-2008进行修订
❖ 新等保系列标准目前主要有六个部分 GB/T 22239.1 信息安全技术 网络安全等级保护基本要求 第1部分 安全通用要 求 GB/T 22239.2 信息安全技术 网络安全等级保护基本要求 第2部分 云计算安全 扩展要求 GB/T 22239.1 信息安全技术 网络安全等级保护基本要求 第3部分 移动互联安 全扩展要求 GB/T 22239.1 信息安全技术 网络安全等级保护基本要求 第4部分 物联网安全 扩展要求 GB/T 22239.1 信息安全技术 网络安全等级保护基本要求 第5部分 工业控制安 全扩展要求 GB/T 22239.1 信息安全技术 网络安全等级保护基本要求 第6部分 大数据安全 扩展要求
信息安全等级保护—整改 定义 按照信息系统已备案的等级信息，参照信息安全等级保护
基本要求，组织开展差距分析及整改加固的相关工作。
由信息系统运营 单位开展自查及 整改工作，不断 完善信息安全等 级保护的各项要 求。
委托具备测评资 质的测评机构开 展信息系统安全 等级保护差距分 析，配合运营单 位完成整改及安 全加固工作。