信息安全等级保护介绍(银行培训)

等级保护法律政策体系
7、《关于加强国家电子政务工程建设项目信息安全风险评 估工作的通知》（发改高技[2008]2071号） 8、《关于推动信息安全等级保护测评体系建设和开展等级 测评工作的通知》（公信安[2010]303号）。 9、《关于印发〈信息系统安全等级测评报告模版（试行）〉 的通知》（公信安[2009]1487号） 10、《公安机关信息安全等级保护检查工作规范》（公信安 [2008]736号 ） 11、《关于开展信息安全等级保护专项监督检查工作的通知》 （公信安[2010]1175号） 12、《关于进一步推进中央企业信息安全等级保护工作的通 知》（公通字[2010]70号）
等保相关金融行业标准
金融行业信息系统信息安全等级保护实施指引 主要内容：
– 信息安全保障框架（两项要求、两个体系、技管交互 、综合保障） – 保护要求（2-4级、S\A\G\F） – 等级保护实施措施（要求、技术措施、实现方式） – 金融行业安全要求的选择和使用说明
使用：
– 金融机构对信息系统进行建设整改的依据 – 职能部门进行监督检查指导的依据
信息系统安全等级的划分
信息系统受到破坏后，会对国家安全造 成特别严重损害。
第五级
第四级
第三级
第二级
信息系统受到破坏后，会对社会秩序和 公共利益造成特别严重损害，或者对国 家安全造成严重损害。 信息系统受到破坏后，会对社会秩序和 公共利益造成严重损害，或者对国家安 全造成损害。 信息系统受到破坏后，会对公民、法人 和其他组织的合法权益产生严重损害， 或者对社会秩序和公共利益造成损害， 但不损害国家安全。 信息系统受到破坏后，会对公民、法人 和其他组织的合法权益造成损害，但不 损害国家安全、社会秩序和公共利益。
第一级
损害
严重损害
自主保护
指导保护 损害 严重损害 监督检查保 护
国家安全
损害
第五级
极端重要 系统
国家安全
特别严重损害
等保 相关 标准 与等 保各 工作 环节 的关 系
等保相关的主要标准
•
•
•
•
• •
GB/T 22239-2008 护基本要求 GB/T 22240-2008 护定级指南 GB/T 25058-2010 护实施指南 GB/T 25070-2010 全设计技术要求 GB/T 28448-2012 护测评要求 GB/T 28449-2012 护测评过程指南
业务信息安全被破坏时所 侵害的客体 公民、法人和其他组织的 合法权益 一般损害 第一级 严Байду номын сангаас损害 第二级 特别严重损 害 第二级
2、确定业务信息安 全受到破坏时所侵 害的客体
5、确定系统服务安 全受到破坏时所侵 害的客体
社会秩序、公共利益
3、综合评定对客体 的侵害程度 依据 表1 4、业务信息安全等 级 6、综合评定对客体 的侵害程度 依据 表2 7、系统服务安全等 级 国家安全
系统服务
业务系统的服务范围、服务对象等
确定受侵害的客体
国家安全 – 体现了国家层面、与全局相关的国家政治安全、军事安全、经 济安全、社会安全、科技安全等方面利益。 社会秩序和公共利益 – 包括政治、经济、生产、生活、科研、工作等各方面的正常秩 序和社会公众生产、生活、教育、卫生等方面的利益。
合法权益
– 是法律确认的并受法律保护的公民、法人和其他组织所享有的 一定的社会权利和利益。
确定受侵害的程度
一般损害 – 工作职能受到局部影响，业务能力有所降低但不影响主要功能的执行，出
现较轻的法律问题，有限的社会不良影响，对其他组织造成较低损害。
严重损害 – 工作职能受到严重影响，业务能力显著下降且严重影响主要功能执行，出
第一级
信息系统安全等级的划分
等级 对象 侵害客体 公民、法人和其他组织的合 法权益 一般系统 第二级 公民、法人和其他组织的合 法权益 社会秩序和公共利益 第三级 重要系统 社会秩序和公共利益 第四级 国家安全 严重损害 特别严重损害 强制监督检 查保护 专门监督检 查保护 社会秩序和公共利益 侵害程度 监管强度
S1A5G5，S2A5G5，S3A5G5，S4A5G5， S5A5G5，S5A4G5，S5A3G5，S5A2G5， S5A1G5
金融行业信息系统定级要求
金融行业信息系统定级要求
定级对象分类： • 应用系统 – 核心业务信息系统、综合业务信息系统（Y-Ⅰ） – 网上银行系统、重要支撑系统、重要交易系统、重要管 理系统及其它运行关键业务或涉及客户身份、资产、交 易记录等敏感信息的信息系统（Y-Ⅱ） – 部署有应用服务器或数据库服务器的前置系统（Y-Ⅲ） • 生产网络系统
信息安全等级保护工作的主要内容
分等级保护、分等级监管：
将信息系统（包括网络）按照重要性和遭受损坏后的 危害性分成五个安全保护等级（从第一级到第五级， 逐级增高）； 等级确定后，第二级（含）以上信息系统到公安机关 备案，公安机关审核后颁发备案证明； 备案单位选择符合国家规定条件的测评机构开展等级 测评，根据信息系统安全等级，按照国家政策、标准 开展安全建设整改； 公安机关对第二级信息系统进行指导，对第三、四级 信息系统定期开展监督、检查。
第二级
第三级
第三级
第四级
第四级
第五级
表2
对相应客体的侵害程度
系统服务安全被破坏时所 侵害的客体 公民、法人和其他组织的 合法权益 社会秩序、公共利益 国家安全 一般损害 第一级 第二级 第三级 严重损害 第二级 第三级 第四级 特别严重损 害 第二级 第四级 第五级
8、定级对象的安全 保护等级
确定定级对象
等级保护法律政策体系
主要政策文件:
1、《关于信息安全等级保护工作的实施意见》（公通字 [2004]66号） 2、《信息安全等级保护管理办法》（公通字[2007]43号） 3、《关于开展全国重要信息系统安全等级保护定级工作的 通知》（公通字[2007]861号） 4、《信息安全等级保护备案实施细则》（公信安 [2007]1360号） 5、《关于开展信息系统等级保护安全建设整改工作的指导 意见》（公信安[2009]1429号） 6、《关于做好信息安全等级保护测评机构审核推荐工作的 通知》（公信安[2010]559号）
等级保护主要环节
主管部门
运营使用单位
安全服务商 安全评估机构
信息安全监管 职能部门
定级、备案
建设整改
等级测评
监督检查
技术标准
管理规范
等级 保护 法律 政策 体系
等级保护法律政策体系
依据： 1.《中华人民共和国计算机信息系统安全保护条例 》 （国务院147号令）：“计算机信息系统实行安全 等级保护，安全等级的划分标准和安全等级保护 的具体办法，由公安部会同有关部门制定” 。 2.《国家信息化领导小组关于加强信息安全保障工 作的意见》（中办发[2003]27号）：要重点保护 基础信息网络和关系国家安全、经济命脉、社会 稳定等方面的重要信息系统，抓紧建立信息安全 等级保护制度，制定信息安全等级保护的管理办 法和技术指南。”
金融行业信息系统定级要求
• 生产网络系统 作为定级对象的网络系统包括：网络设备、前置中 间件设备、接入网络的计算机终端 – 方案1（W1）：
• 广域网骨干网（W1-Ⅰ） • 机构总部局域网骨干网（W1-Ⅱ） • 分支机构局域网骨干网（W1-Ⅲ）
– 方案2（W2）：
• 机构总部骨干网（W2-I） • 分支机构骨干网（W2-Ⅱ）
信息安全技术 信息系统安全等级保
信息安全技术 信息系统安全等级保
信息安全技术 信息系统安全等级保
信息技术安全 信息系统等级保护安
信息安全技术 信息系统安全等级保 信息安全技术 信息系统安全等级保
《基本要求》的框架结构
第一级基本 要求 第二级基本 要求 第三级基本 要求 第四级基本 要求 第五级基本 要求
技术要求
管理要求
物 理 安 全
网 络 安 全
主 机 安 全
应 用 安 全
数据 安全 及 备份 恢复
安 全 管 理 制 度
安 全 管 理 机 构
人 员 安 全 管 理
系 统 建 设 管 理
系 统 运 维 管 理
等保相关金融行业标准
•
•
•
JR/T 0071 -2012金融行业信息系统信息安全等 级保护实施指引 JR/T 0072 -2012 金融行业信息系统信息安全 等级保护测评指南 JR/T 0073 -2012金融行业信息安全等级保护测 评服务安全指引
信息安全等级保护
信息安全等级保护概念
• 信息安全等级保护是指对国家秘密信息、法人和其他组织 及公民的专有信息及公开信以及存储、传输、处理这些信 息的信息系统分等级实行保护，对信息系统中使用的信息 安全产品实行按等级管理，对信息系统中发生的信息安全 事件分等级响应、处置。 • 信息系统安全等级保护是国家信息安全保障的基本制度、 基本策略、基本方法。 • 开展信息安全等级保护工作是保护信息化发展、维护国家 信息安全的根本保障，是信息安全保障工作中国家意志的 体现。
现较严重的法律问题，较高的资产损失，较大范围的社会不良影响，对其
他组织和个人造成较严重损害。 特别严重损害 – 工作职能受到特别严重影响或丧失行使能力，业务能力严重下降且或功能 无法执行，出现极其严重的法律问题，极高的资产损失，大范围的社会不 良影响，对其他组织和个人造成非常严重损害。
安全保护等级与基本保护要求组合的对应关系
安全保 护等级 信息系统基本保护要求的组合
第一级 第二级 第三级
第四级
S1A1G1
S1A2G2，S2A2G2，S2A1G2 S1A3G3，S2A3G3，S3A3G3，S3A2G3， S3A1G3 S1A4G4，S2A4G4，S3A4G4，S4A4G4， S4A3G4，S4A2G4，S4A1G4
第五级
等级保护基本原则
信息系统运营、使用单位及其主管部门按照国家相关 法规和标准，自主确定信息系统的安全保护等级，自 行组织实施安全保护。
• 自主保护原则
• 同步建设原则 • 重点保护原则 • 适当调整原则
信息系统在新建、改建、扩建时应当同步规划和设计 安全方案，投入一定比例的资金建设信息安全设施， 保障信息安全与信息化建设相适应。 根据信息系统的重要程度、业务特点，通过划分不同 安全保护等级的信息系统，实现不同强度的安全保护， 集中资源优先保护涉及核心业务或关键信息资产的信 息系统。 要跟踪信息系统的变化情况，调整安全保护措施。由 于信息系统的应用类型、范围等条件的变化及其他原 因，安全保护等级需要变更的，应当根据等级保护的 管理规范和技术标准的要求，重新确定信息系统的安 全保护等级，根据信息系统安全保护等级的调整情况， 重新实施安全保护。
等保相关金融行业标准
金融行业信息系统信息安全等级保护测评指南 主要内容：
– – – – – 等级测评过程 测评准备 测评方案 现场测评 (测评实施、判定标准) 分析与报告编制
使用：
– 指导金融机构进行自测评 – 指导测评机构对金融系统进行等级测评
等保相关金融行业标准
金融行业信息安全等级保护测评服务安全指引 主要内容：
安全责任单位 • 可以根据安全责任单位的不同划分成不同的信息系统
业务类型和业务重要性 • • • 可能涉及不同客体的系统 可能对客体造成不同程度损害的系统 处理不同类型业务的系统
物理位置 • 物理位置也可以作为信息系统划分的考虑因素之一
确定业务系统和系统服务
业务信息
业务系统处理的主要业务信息等
机构总部信息系统定级建议
分支机构信息系统定级建议
定级报告
1、信息系统描述 • 简述确定该信息系统为定级对象的理由。包括：该信息系统所承载业务的主管单位和 部门，该信息系统具有信息系统的基本要素（有主机、网络及相关配套设施构成的人 机系统），该信息系统承载着独立或单一的业务应用，业务应用主要包括哪些，各包 含哪些功能等。 2、信息系统安全保护等级的确定 • （1）业务信息安全保护等级的确定。 • 第一步：简要描述信息系统所处理的主要业务信息，包括各项业务的主要数据项有哪 些等。 • 第二步：确定业务信息受到破坏后所侵害的客体 • 第三步：确定对客体的侵害程度 • 第四步：查表确定业务信息安全等级 • （2）系统服务安全保护等级的确定 • 第一步：简要描述系统的服务范围、服务对象、服务要求等等。 • 第二步：确定系统服务受到破坏后所侵害的客体 • 第三步：确定对客体的侵害程度 • 第四步：查表确定系统服务安全等级 • （3）安全保护等级的确定 • 由业务信息安全等级和系统服务安全等级较高者决定系统安全保护等级
– 资质能力要求 测评机构资质要求、测评机构管理要求、测评人员要 求、测评工具要求 – 测评过程要求 测评过程机构要求、测评人员行为要求、测评过程管 理要求（文档管理、对象管理、测评工具安全）
使用：
– 指导金融机构选择测评机构 – 规范测评过程，规避测评风险
定级流程
1、确定定级对象
表1
对相应客体的侵害程度