[课件]等级保护测评介绍PPT
合集下载
等级保护测评-完全过程(非常全面)[优质ppt]
![等级保护测评-完全过程(非常全面)[优质ppt]](https://img.taocdn.com/s3/m/a0f55dbb71fe910ef12df8d2.png)
组合分析
1、等级测评是测评机构依据国家信息安全等级保护制度规定: 《国家信息化领导小组关于加强信息安全保障工作的意见》、《保护安全建设整改工作的指导意见》 、《信
息安全等级保护管理办法》。
2、受有关单位委托,按照有关管理规范和技术标准(相关标准关系图参见图1、图2) 定级标准: 《信息系统安全保护等级定级指南》、 《计算机信息系统安全保护等级划分准则》 ; 建设标准:《信息系统安全等级保护基本要求》、《信息系统通用安全技术要求》、《信息系统等级保护安
等级保护测评过程 以三级为例
主题一
1 等级保护测评概述 2 等级保护测评方法论 3 等级保护测评内容与方法 4 等保测评安全措施
等保测评概述
等级测评是测评机构依据国家信息安全等级保护制度规定,受有关 单位委托,按照有关管理规范和技术标准,运用科学的手段和方法 ,对处理特定应用的信息系统,采用安全技术测评和安全管理测评 方式,对保护状况进行检测评估,判定受测系统的技术和管理级别 与所定安全等级要求的符合程度,基于符合程度给出是否满足所定 安全等级的结论,针对安全不符合项提出安全整改建议。
组合分析
4、对处理特定应用的信息系统(查阅定级指南,哪些应用系统定级) 作为定级对象的信息系统应具有如下基本特征: 具有唯一确定的安全责任单位。 作为定级对象的信息系统应能够唯一地确定其安全责任单位。如果一个单位的某
个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任,则这个下级单位可以成为信息系统的安全责 任单位;如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任,则该信息系统的安全责任单位应 是这些下级单位共同所属的单位; 具有信息系统的基本要素。 作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和 规则组合而成的有形实体。应避免将某个单一的系统组件,如服务器、终端、网络设备等作为定级对象; 承载单一或相对独立的业务应用。 定级对象承载“单一”的业务应用是指该业务应用的业务流程独立,且与其他 业务应用没有数据交换,且独享所有信息处理设备。定级对象承载“相对独立”的业务应用是指其业务应用的主要 业务流程独立,同时与其他业务应用有少量的数据交换,定级对象可能会与其他业务应用共享一些设备,尤其是网 络传输设备。
等级保护和等级测评简介41页PPT
一般损害:是指对客体造成一定损害和影响, 经采取恢复或弥补措施,可消除部分影响。
严重损害:是指对客体造成严重损害,经采 取恢复或弥补措施,仍产生较大影响。
造成特别严重损害:是指对客体造成特别严 重损害,后果特别严重,影响重大且无法弥 补。
信息系统分等级保护
定级 备案 建设整改 测评 监督检查
准备阶段
方
主要内容
等级保护简介
等级保护制度 等级保护工作的主要内容
等级测评简介
测评流程 测评方法 测评内容
不同安全等级的区别(二级和三级)
安全保护能力要求区别 在测评上的区别
测评方法
访谈
访谈是指测评人员通过与信息系统有关人员(个人/群体) 进行交流、讨论等活动,获取相关证据以表明信息系统安 全保护措施是否有效落实的一种方法。在访谈范围上,应 基本覆盖所有的安全相关人员类型,在数量上可以抽样。
主要内容
等级保护简介
等级保护制度 等级保护工作的主要内容
等级测评简介
测评流程 测评方法 测评内容
不同安全等级的区别(二级和三级)
安全保护能力要求区别 在测评上的区别
测评内容
技术要求:
物理安全 网络安全 主机安全 应用安全 数据安全
信息系统备案
第二级以上信息系统,由信息系统运营使 用单位到所在地设区的市级以上公安机关 网络安全保卫部门办理备案手续,填写 《信息系统安全等级保护备案表》。
信息系统分等级保护
定级 备案 建设整改 测评 监督检查
安全建设整改
第二级信息系统:经过安全建设整改工作,信息系统具有 抵御小规模、较弱强度恶意攻击的能力,抵抗一般的自然 灾害的能力,防范一般性计算机病毒和恶意代码危害的能 力;具有检测常见的攻击行为,并对安全事件进行记录的 能力;系统遭到损害后,具有恢复系统正常运行状态的能 力。
严重损害:是指对客体造成严重损害,经采 取恢复或弥补措施,仍产生较大影响。
造成特别严重损害:是指对客体造成特别严 重损害,后果特别严重,影响重大且无法弥 补。
信息系统分等级保护
定级 备案 建设整改 测评 监督检查
准备阶段
方
主要内容
等级保护简介
等级保护制度 等级保护工作的主要内容
等级测评简介
测评流程 测评方法 测评内容
不同安全等级的区别(二级和三级)
安全保护能力要求区别 在测评上的区别
测评方法
访谈
访谈是指测评人员通过与信息系统有关人员(个人/群体) 进行交流、讨论等活动,获取相关证据以表明信息系统安 全保护措施是否有效落实的一种方法。在访谈范围上,应 基本覆盖所有的安全相关人员类型,在数量上可以抽样。
主要内容
等级保护简介
等级保护制度 等级保护工作的主要内容
等级测评简介
测评流程 测评方法 测评内容
不同安全等级的区别(二级和三级)
安全保护能力要求区别 在测评上的区别
测评内容
技术要求:
物理安全 网络安全 主机安全 应用安全 数据安全
信息系统备案
第二级以上信息系统,由信息系统运营使 用单位到所在地设区的市级以上公安机关 网络安全保卫部门办理备案手续,填写 《信息系统安全等级保护备案表》。
信息系统分等级保护
定级 备案 建设整改 测评 监督检查
安全建设整改
第二级信息系统:经过安全建设整改工作,信息系统具有 抵御小规模、较弱强度恶意攻击的能力,抵抗一般的自然 灾害的能力,防范一般性计算机病毒和恶意代码危害的能 力;具有检测常见的攻击行为,并对安全事件进行记录的 能力;系统遭到损害后,具有恢复系统正常运行状态的能 力。
等级保护测评讲解.共45页
等级保护测评讲解.
1、战鼓一响,法律无声。——英国 2、任何法律的根本;不,不成文法本 身就是 讲道理 ……法 律,也 ----即 明示道 理。— —爱·科 克
3、法律是最保ห้องสมุดไป่ตู้的头盔。——爱·科 克 4、一个国家如果纲纪不正,其国风一 定颓败 。—— 塞内加 5、法律不能使人人平等,但是在法律 面前人 人是平 等的。 ——波 洛克
66、节制使快乐增加并使享受加强。 ——德 谟克利 特 67、今天应做的事没有做,明天再早也 是耽误 了。——裴斯 泰洛齐 68、决定一个人的一生,以及整个命运 的,只 是一瞬 之间。 ——歌 德 69、懒人无法享受休息之乐。——拉布 克 70、浪费时间是一桩大罪过。——卢梭
等级保护政策、流程、内容、定级介绍 ppt课件
2010年10月15日,第十七届中央委员会第五次全体会议 中提出的十二五规划中要求“健全网络与信息安全法律 法规,完善信息安全标准体系和认证认可体系,实施信 息安全等级保护、风险评估等制度”。
2012年7月17日,国务院办公厅(国发[2012]23号)——
《国务院关于大力推进信息化发展和切实保障信息安全
ppt课件
9
4 主要工作内容
工作实施过程中涉及到的角色和职责:
系统定级 系统备案 安全建设 等级测评 监督检查
ppt课件
10
5 等级保护主要工作流程
业务流程
•不合格项整改 •整改后测评
备案
测评申请
信息系统
测评
测评准备
ppt课件
11
6 等级保护定级工作流程
定级流程4 Biblioteka 级备案ppt课件8
3 等保测评作用
工作实施过程中涉及到的角色和职责: 在信息系统建设、整改时,信息系统运营使用单位通过
等级测评进行安全需求分析,确定系统的特殊安全需求 。信息系统等级保护基本安全要求与确定的特殊安全需 求共同确定了该系统的安全需求。 在系统运维过程中,定期委托测评机构开展等级测评, 对信息系统安全等级保护状况、安全保障性能进行安全 测试,对信息安全管控能力进行考察和评价,从而判定 是否具备《信息系统安全等级保护基本要求》中相应等 级安全保护能力。 等级测评报告是信息系统后期开展整改加固的重要指导 性文件,也是信息系统备案的重要附件材料。等级测评 结论是信息系统满足要求程度的证明文件。
信息安全等级保护基本介绍
河南天祺信息安全技术有限公司
信息安全系统等级保护
1 信息安全等级保护发展历程
2 等级保护的基本概念和含义
等级保护测评-完全全面过程PPT课件
建筑防雷、机房接地 灭火设备、自动报警 防水设备、防水应急预案或措施 关键设备和地板防静电
设备防雷 自动消防系统
上下水管 接地防干扰
7 67 3 63 6 76
数据安全
2 21 1
0 0 0 3 33
安全管理制度
0
0
7 10 0
2 32
安全管理机构
0
管理
人员安全管理
0
类
系统建设管理
0
0
9 19 2 8 5 8
0
11 16 5 4 5 4
0
28 41 13 18 9 18
系统运维管理
0
0
27 51 42 54 12 54
控制点 二三 级级 23 47 24 40 20 34 21 37 48 7 12 11 27 16 20 41 59 69 105
测评指标 安全子类数量
S类 S类 A类 A类 G类 G类 F类 F类 (2级) (3级) (2级) (3级) (2级) (3级) (2级) (3级)
要求项
二三 级级
物理安全
1 11 1
8 29 4 18 10 18
技术 类
网络安全 主机安全 应用安全
1 10 0 2 31 1 4 52 2
5 31 6 3 12 0 162
(1项)
• 电力供应
(4项)
• 电磁防护
(3项)
以第三级为例
20
物 理 安 全
物理位置选择 物理访问控制 防盗和防破坏
防雷击 防火 防水和防潮 防静电 温湿度控制 电力供应 电磁防护
物理安全测评内容和方法
• 调研访谈:机房具有防震、防雨和防风能力,并提供机房设计和验收证明; • 现场查看:查看机房是否建在高层或地下室。
《信息系统安全等级保护等保测评安全管理测评》PPT
1序、号 背景知安全识关注点
1 人员录用
一级 2
二级 3+
三级 4+
四级 4
2 人员离岗
2
3
3+
3+
3 人员考核
0
1
3
4
4 安全意识教育和培训
2
3+
4
4
5 外部人员访问管理
1
1
2
3
合计
7
11
16
18
1、背景知识
• 系统建设管理是指加强系统建设过程的管理。 制定系统建设相关的管理制度,明确系统定级 备案、方案设计、产品采购使用、软件开发、 工程实施、验收交付、等级测评、安全服务等 内容的管理责任部门、具体管理内容和控制方 法,并按照管理制度落实各项管理措施
1、背景知识
序号 1 2 3
4
5
安全关注点 岗位设置 人员配备 授权和审批
沟通和合作
审核和检查 合计
一级 1 1 1
1
0 4
二级 2 2 2
2
1 9
三级 4 3 4
5
4 20
四级 4 3 4
5
4 20
1、背景知识
• 安全管理制度是指确定安全管理策略,制定安 全管理制度。确定安全管理目标和安全策略, 针对信息系统的各类管理活动,制定人员安全 管理制度、系统建设管理制度、系统运维管理 制度、定期检查制度等,规范安全管理人员或 操作人员的操作规程等,形成安全管理体系
3、评测方法和流程
测评方式-访谈-访谈对象
安全主管 系统建设负责人 人事负责人 系统运维负责人 物理安全负责人 系统管理员、网络管理员、安全管理员、机房值班人员、资产管理员等
等保测评培训资料ppt
据 和 备 份
全 管 理 制
全 管 理 机
员 安 全 管
统
统
建
运
设
维
管
管
恢
度
构
理
理
理
复
层
等级测评内容介绍
以S3A3G3为例:
/
身份鉴别
访问控制
主 机
安全审计
入侵防范
数
据
恶意代码防范
库
资源控制
等级测评内容介绍
以S3A3G3为例:
结构安全
访问控制
网 边界完整性检查
络
全
入侵防范
局
恶意代码防范
等级测评内容介绍
信息安全等级保护 课程培训
主讲:杜娜娜
Email:nndu@
政策标准
1、1994年国务院颁布147号令《中华人民共和国计算机信息系统安全保护条 例》中规定,计算机系统实行安全等级保护,由公安部具体实施。
2、中央办[2003]27号文明确指出“要重点保护基础信息网络和关系国家安全、 经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制 度,制定信息安全等级保护的管理办法和技术指南”。
自主定级、自主保护。 2、系统备案
二级以上系统办理备案(备案表)。 市级以上公安机关审核,10个工作日之内颁发信息系统安全保护备案证明。 3、安全建设 安全需求分析 总体安全设计 详细安全设计 安全实施实现 安全运行与维护 4、等级测评 三级系统每年至少进行一次等级测评,四级系统半年进行一次等级测评,五 级信息系统依据特殊安全需求进行等级测评; 5、监督检查 公安机关、国家保密工作部门、国家密码管理部门分别负责监督、检查和指导。
3、公通字[2004]66号文中再次强调“信息安全等级保护制度是国家在国民经 济和社会信息化建设健康发展的一项基本制度”。
等级保护2.0讲解PPT课件
第四级 信息系统受到破坏后,会对社会秩序和公共利益造成特别严 重损害,或者对国家安全造成严重损害
第五级 信息系统受到破坏后,会对国家安全造成特别严重损害
2021
等级保护工作主要的流程
一是定级 二是备案(二级以上的信息系统) 三是系统建设、整改 四是开展等级测评 五是信息安全监管部门定期开展监督检查
无
通信传输
b) 应采用密码技术保证通信过程中敏感信息字段或整
个报文的保密性。
a) 应能够对非授权设备私自联到内部网络的
a) 应保证跨越边界的访问和数据流通过边界防护设备 提供的受控接口进行通信;
行为进行检查,准确定出位置,并对其进行
有效阻断;
b) 应能够对非授权设备私自联到内部网络的行为进行
边界完整 性检查
(一)制定内部安全管理制度和操作规程,确定网络安全 负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害 网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技 术措施,并按照规定留存相关的网络日志不少于六个月; 2021
第三十四条 除本法第二十一条的规定外,关键信息基础设 施的运营者还应当履行下列安全保护义务:
c) 应强制用户首次登录时修改初始口令; (新增) d) 用户身份鉴别信息丢失或失效时,应采用技术措
施确保鉴别信息重置过程的安全; (新增)
a) 应仅采集和保存业务必需的用户个人信息; (新 增)
b) 应禁止未授权访问和非法使用用户个人信息。 (新增)
2021
解读
1. 应用是具体业务的直接实现,不具有网络和系统相对标 准化的特点。大部分应用本身的身份鉴别、访问控制和操 作审计等功能,都难以用第三方产品来替代实现;
第五级 信息系统受到破坏后,会对国家安全造成特别严重损害
2021
等级保护工作主要的流程
一是定级 二是备案(二级以上的信息系统) 三是系统建设、整改 四是开展等级测评 五是信息安全监管部门定期开展监督检查
无
通信传输
b) 应采用密码技术保证通信过程中敏感信息字段或整
个报文的保密性。
a) 应能够对非授权设备私自联到内部网络的
a) 应保证跨越边界的访问和数据流通过边界防护设备 提供的受控接口进行通信;
行为进行检查,准确定出位置,并对其进行
有效阻断;
b) 应能够对非授权设备私自联到内部网络的行为进行
边界完整 性检查
(一)制定内部安全管理制度和操作规程,确定网络安全 负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害 网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技 术措施,并按照规定留存相关的网络日志不少于六个月; 2021
第三十四条 除本法第二十一条的规定外,关键信息基础设 施的运营者还应当履行下列安全保护义务:
c) 应强制用户首次登录时修改初始口令; (新增) d) 用户身份鉴别信息丢失或失效时,应采用技术措
施确保鉴别信息重置过程的安全; (新增)
a) 应仅采集和保存业务必需的用户个人信息; (新 增)
b) 应禁止未授权访问和非法使用用户个人信息。 (新增)
2021
解读
1. 应用是具体业务的直接实现,不具有网络和系统相对标 准化的特点。大部分应用本身的身份鉴别、访问控制和操 作审计等功能,都难以用第三方产品来替代实现;
[课件]等级保护测评介绍PPT
![[课件]等级保护测评介绍PPT](https://img.taocdn.com/s3/m/8e8c15113968011ca30091e5.png)
主要内容
等级保护相关政策介绍 等级保护测评简介
等级保护测评内容
等级保护测评流程 等级保护测评方式、技术和工具
17
等级保护测评内容
测评内容覆盖组织的重要信息资产 技术层面:测评和分析在网络和主机上存在的安全技术风险, 包括物理环境、网络设备、主机系统、数据库、应用系统等软 硬件设备
…
序号 …
设备名称 …
操作系统/数据库管理系统
业务应用软件 …
27
等级保护测评流程---各阶段提交物
前期沟通
制定计划与培训
收集资料
序号 姓名 … 岗位/角色 … 联系方式 … 序号 …
测评实施
设备名称 …
形成报告
用 途 … 重要程度 …
测评规划
…
序号 …
等级保护测评原则
标准性原则
规范性原则 可控性原则
整体性原则
测评工作具备充分的计 划性,不对现有的运 行和业务的正常提供 产生显著影响,尽可 能小地影响系统和网 络的正常运行。
最小影响原则
14
等级保护测评原则
从公司、人员、过程三个 标准性原则 方面进行保密控制: 1.测评公司与甲方双方签 署保密协议,不得利用 规范性原则 测评中的任何数据进行 其他有损甲方利益的活 可控性原则 动; 2.人员保密,公司内部签 整体性原则 订保密协议; 3.在测评过程中对测评数 最小影响原则 据严格保密。
5
等级保护测评简介
1.等级保护测评目的 2.等级保护测评依据
3.等级保护测评原则
等级保护测评依据
《信息安全等级保护管理办法》(公通字[2007]43号)
1.信息系统建设完成后,运营、使用单位或者其主管部门应 当选择符合本办法规定条件的测评机构,依据《信息系统安 全等级保护测评要求》等技术标准,定期对信息系统安全等 级状况开展等级测评; 2.第三级信息系统应当每年至少进行一次等级测评,第四级 信息系统应当每半年至少进行一次等级测评,第五级信息系 统应当依据特殊安全需求进行等级测评; 3.信息系统运营、使用单位及其主管部门应当定期对信息系 统安全状况、安全保护制度及措施的落实情况进行自查。第 三级信息系统应当每年至少进行一次自查,第四级信息系统 应当每半年至少进行一次自查,第五级信息系统应当依据特 殊安全需求进行自查; 4.经测评或者自查,信息系统安全状况未达到安全保护等级 要求的,运营、使用单位应当制定方案进行整改
信息系统安全等级保护等保测评网络安全测评ppt.(ppt)
3、检查内容-结构安全
一、结构安全(7项) 结构安全是网络安全测评检查的重点,网络结构是否合理直接关系到信息
系统的整体安全。
条款解读
a)应保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要;
条款理解 为了保证信息系统的高可用性,主要网络设备的业务处理能力应具备冗余
空间。
检查方法 访谈网络管理员,询问主要网络设备的性能及业务高峰流量。 访谈网络管理员,询问采用何种手段对网络设备进行监控。
信息系统安全等级 保护等保测评网络 安全测评ppt.(ppt)
内容
1
前言
2
检查范围
3
检查内容
4
现场测评步骤
1、前言
标准概述
2007年43号文《信息安全等级保护管理办法》
按照以下相关标准开展等级保护工作: 《计算机信息系统安全保护等级划分准则》(GB17859-1999) 《信息系统安全等级保护定级指南》(GB/T22240-2008) 《信息系统安全等级保护基本要求》(GB/T22239-2008) 《信息系统安全等级保护测评要求》(报批稿) 《信息系统安全等级保护实施指南》(报批稿) .......
1、前言
• 网络安全是指对信息系统所涉及的通信网络、网络 边界、网络区域和网络设备等进行安全保护。具体 关注内容包括通信过程数据完整性、通信过程数据 保密性、保证通信可靠性的设备和线路冗余、区域 网络的边界保护、区域划分、身份认证、访问控制、 安全审计、入侵防范、恶意代码防范、网络设备自 身保护和网络的网络管理等方面
检查方法 检查边界设备和主要网络设备,查看是否进行了路由控制建立安全
的访问路径。 以CISCO IOS为例,输入命令:show running-config 检查配置文件中应当存在类似如下配置项: ip route 192.168.1.0 255.255.255.0 192.168.1.193 (静态) router ospf 100 (动态) ip ospf message-digest-key 1 md5 7 XXXXXX(认证码)
等级保护政策、流程、内容、定级介绍 ppt课件
ppt课件
21
8 等级保护安全建设内容
安全建设
在信息系统安全保护等级确定以后,系统运营单位和使 用单位开展系统安全建设和改建工作,通常包括安全需 求分析、总体安全设计、详细安全设计、安全设施实现 和安全运行与维护等工作。
ppt课件
22
9 等级保护监督检查内容
监督检查
公安机关负责信息安全等级保护工作的督促、检查、指 导; 受理备案的公安机关对第三级信息系统的运营、使用单 位每年至少检查一次,对第四级每半年检查一次; 公安机关检查发现不符合有关管理规范和技术标准的, 发出整改通知并进行整改。
信息系统定级工作的主体是信息系统运营和使用单位, 坚持“自主定级、自主保护”原则,因此定级工作应当 由信息系统的运营和使用单位来完成。
ppt课件
13
6 等级保护定级工作流程
定级受理备案审核材料
管理办法规定第二级以上信息系统应当在安全保护等级 确定后30日内,由其运营、使用单位到所在地区的市级 以上公安机关办理系统备案手续。
ppt课件
8
3 等保测评作用
工作实施过程中涉及到的角色和职责: 在信息系统建设、整改时,信息系统运营使用单位通过
等级测评进行安全需求分析,确定系统的特殊安全需求 。信息系统等级保护基本安全要求与确定的特殊安全需 求共同确定了该系统的安全需求。 在系统运维过程中,定期委托测评机构开展等级测评, 对信息系统安全等级保护状况、安全保障性能进行安全 测试,对信息安全管控能力进行考察和评价,从而判定 是否具备《信息系统安全等级保护基本要求》中相应等 级安全保护能力。 等级测评报告是信息系统后期开展整改加固的重要指导 性文件,也是信息系统备案的重要附件材料。等级测评 结论是信息系统满足要求程度的证明文件。
等保测评介绍及解决方案(最终) ppt课件
4
等级保护发展历程 等保2.0
发展情况
修订等保1.0
2016年10月公安部网络安 全保卫局组织对原有国家标 准 GB/T 22239-2008等系列 标 准进行了修订。
2.0系列标准 编制工作
2017年1月至2月,全国信息安 全标准化技术委员会发布《 网 络安全等级保护基本要求》系 列标准、《 网络安全等级保护 测评要求 》系列标准等“征求 意见稿”。 2017年5月,国家公安部发布 《GA/T 1389—2017 网络安 全等级保护定级指南》、 《GA/T 1390.2—2017 网络安 全等级保护基本要求 第 2 部分: 云计算安全扩展要求》等4个公 共安全行业等级保护标准。
ppt课件
17
18
依据《中华人民共和国网络安全法》
第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安 全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或 者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
第五十九条 网络运营者不履行本法第二十一条、第二十五条规定的网络安 全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害 网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处 五千元以上五万元以下罚款。
关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三 十六条、第三十八条规定的网络安全保护义务的,由有关主管部门责令改正, 给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元 以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
ppt课件
18
《网络安全法》执法案例
系统重要程度有多高,安全保护就应当有多 强,既不能保护不足,也不能过度保护。
等级保护发展历程 等保2.0
发展情况
修订等保1.0
2016年10月公安部网络安 全保卫局组织对原有国家标 准 GB/T 22239-2008等系列 标 准进行了修订。
2.0系列标准 编制工作
2017年1月至2月,全国信息安 全标准化技术委员会发布《 网 络安全等级保护基本要求》系 列标准、《 网络安全等级保护 测评要求 》系列标准等“征求 意见稿”。 2017年5月,国家公安部发布 《GA/T 1389—2017 网络安 全等级保护定级指南》、 《GA/T 1390.2—2017 网络安 全等级保护基本要求 第 2 部分: 云计算安全扩展要求》等4个公 共安全行业等级保护标准。
ppt课件
17
18
依据《中华人民共和国网络安全法》
第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安 全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或 者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
第五十九条 网络运营者不履行本法第二十一条、第二十五条规定的网络安 全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害 网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处 五千元以上五万元以下罚款。
关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三 十六条、第三十八条规定的网络安全保护义务的,由有关主管部门责令改正, 给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元 以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
ppt课件
18
《网络安全法》执法案例
系统重要程度有多高,安全保护就应当有多 强,既不能保护不足,也不能过度保护。
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
等级保护测评原则
标准性原则
规范性原则
为用户提供规范的服务,工作中的过程和文档需具有 良好的规范性,可以便于项目的跟踪和控制。
11
为用户提供规范的服务。工作中的过程和文档,具有很好的规范性,可以便于项目 的跟踪和控制
等级保护测评原则
标准性原则
规范性原则 可控性原则
保密性原则
15
等级保护测评原则
标准性原则
规范性原则 可控性原则
整体性原则
最小影响原则
根据被测信息系统 的实际业务需求、 功能需求、以及 对应的安全建设 情况,开展针对 性较强的测评工 作。
保密性原则
个性化原则
16
主要内容
等级保护相关政策介绍 等级保护测评简介
等级保护测评内容
等级保护测评流程 等级保护测评方式、技术和工具
17
等级保护测评内容
测评内容覆盖组织的重要信息资产 技术层面:测评和分析在网络和主机上存在的安全技术风险, 包括物理环境、网络设备、主机系统、数据库、应用系统等软 硬件设备
测评过程和所使用的工具具备可控性,测评项目所采用 的工具都经过多次测评项目考验,或者是根据具体要 求和组织的具体网络特点定制的,具范的服务。工作中的过程和文档,具有很好的规范性,可以便于项目 的跟踪和控制
等级保护测评原则
标GB/T24856-2009信息安全技术 信息系统等级保护安全设计技术 要求 GB/T 20008-2005 信息安全技术 操作系统安全测评准则 准 GB/T 20009-2005 信息安全技术 数据库管理系统安全测评准则
GB/T 20010-2005 信息安全技术 包过滤防火墙测评准则
GB/T 20011-2005 信息安全技术 路由器安全测评准则
5
等级保护测评简介
1.等级保护测评目的 2.等级保护测评依据
3.等级保护测评原则
等级保护测评依据
《信息安全等级保护管理办法》(公通字[2007]43号)
1.信息系统建设完成后,运营、使用单位或者其主管部门应 当选择符合本办法规定条件的测评机构,依据《信息系统安 全等级保护测评要求》等技术标准,定期对信息系统安全等 级状况开展等级测评; 2.第三级信息系统应当每年至少进行一次等级测评,第四级 信息系统应当每半年至少进行一次等级测评,第五级信息系 统应当依据特殊安全需求进行等级测评; 3.信息系统运营、使用单位及其主管部门应当定期对信息系 统安全状况、安全保护制度及措施的落实情况进行自查。第 三级信息系统应当每年至少进行一次自查,第四级信息系统 应当每半年至少进行一次自查,第五级信息系统应当依据特 殊安全需求进行自查; 4.经测评或者自查,信息系统安全状况未达到安全保护等级 要求的,运营、使用单位应当制定方案进行整改
7
等级保护测评依据
测评主要标准 GB/T22239-2008信息安全技术 信息系统安全等级保护基本要求 相GB/TXXXX-XXXX 信息安全技术信息系统安全等级保护测评要求 (报批稿) 关 参考技术标准 GB17859-1999 计算机信息系统安全保护等级划分准则
测 评 管理层面:从组织的人员、组织结构、管理制度、系统运行保 障措施,以及其它运行管理规范等角度,分析业务运作和管理 内 方面存在的安全缺陷 容
通过对以上各种安全威胁的分析和汇总,形成组织的安全测评 报告 根据组织的安全测评报告和安全现状,提出相应的安全整改建 议,指导下一步的信息安全建设
18
1.等级保护测评目的 2.等级保护测评依据
3.等级保护测评原则
等级保护测评目的
等级保护测评的主要目的是: 对信息系统安全防护体系能力的分析与确认, 发现存在的安全隐患, 帮助运营使用单位认识不足, 及时改进, 有效提升其信息安全防护水平;
遵循国家等级保护有关规定的要求, 对信息系统安全建设进行符合性测评;
8
等级保护测评简介
1.等级保护测评目的 2.等级保护测评依据
3.等级保护测评原则
等级保护测评原则
标准性原则
测评工作的开展、方案的设计和具体实施均需依据我 国等级保护的相关标准进行。
10
等级保护测评原则
标准性原则
规范性原则 可控性原则
整体性原则
测评工作具备充分的计 划性,不对现有的运 行和业务的正常提供 产生显著影响,尽可 能小地影响系统和网 络的正常运行。
最小影响原则
14
等级保护测评原则
从公司、人员、过程三个 标准性原则 方面进行保密控制: 1.测评公司与甲方双方签 署保密协议,不得利用 规范性原则 测评中的任何数据进行 其他有损甲方利益的活 可控性原则 动; 2.人员保密,公司内部签 整体性原则 订保密协议; 3.在测评过程中对测评数 最小影响原则 据严格保密。
标准性原则
规范性原则 可控性原则
整体性原则
测评服务从组织的实际需求出发,从业务角度进行测评, 而不是局限于网络、主机等单个的安全层面,涉及到 安全管理和业务运营,保障整体性和全面性。
13
为用户提供规范的服务。工作中的过程和文档,具有很好的规范性,可以便于项目 的跟踪和控制
等级保护测 评介绍
主要内容
等级保护测评简介
等级保护测评内容
等级保护测评流程 等级保护测评方式、技术和工具
2
等级保护测评简介
1.等级保护测评目的 2.等级保护测评依据
3.等级保护测评原则
等级保护测评简介