信息安全等级保护v1.0
09X017 中国移动管理信息系统安全防护体系总体技术要求V1.0.0
中国移动通信企业标准 中国移动管理信息系统安全防护体系总体技术要求 G e n e r a l T e c h n i c a l R e q u i r e m e n t s F o r S e c u r i t y P r o t e c t i o n S y s t e m o f C M C C M I S 版本号:1.0.0 中国移动通信集团公司 发布2010-1-15发布 2010-1-15实施QB-X-017-2009目录前言 (II)1.范围 (1)2.规范性引用文件 (1)3.术语、定义和缩略语 (1)4. 综述 (2)4.1背景 (2)4.2本要求的范围和主要内容 (3)5. 目标和原则 (4)6. 安全防护技术体系 (4)6.1整体说明 (4)6.2安全域划分技术要求 (5)6.3安全域防护技术要求 (6)6.4安全加固规范 (6)6.5安全基线规范 (7)6.6信息安全风险评估技术要求 (7)6.7灾难备份与恢复实施技术要求 (7)7.编制历史 (7)前言本标准是中国移动管理信息系统安全防护的整体技术要求,是中国移动开展管理信息系统安全防护和安全运维工作的说明和依据。
本标准是一系列用于加强安全防护、加强系统自身安全的规范和标准,涵盖安全架构、安全评估、系统自身安全加固、安全防护等方面。
本标准是《中国移动管理信息系统安全防护体系技术规范》系列标准之一,该系列标准的结构、名称或预计的名称如下:序号标准编号标准名称[1] QB-X-017-2009 中国移动管理信息系统安全防护体系总体技术要求[2] QB-X-018-2009 中国移动管理信息系统安全域边界防护技术要求[3] QB-X-019-2009 中国移动管理信息系统安全域划分技术要求[4] QB-X-020-2009 中国移动管理信息系统安全基线规范[5] QB-X-021-2009 中国移动管理信息系统安全加固规范[6] QB-X-022-2009 中国移动管理信息系统安全风险评估规范[7] QB-X-023-2009 中国移动管理信息系统集中灾备系统技术规范本标准由中移技〔2010〕17号印发。
测评师培训和考试指南
CSPEC-PXKS01等级测评师培训及考试指南(V1.0)公安部信息安全等级保护评估中心二〇一一年一月为加强信息安全等级保护测评机构建设和管理,规范等级测评活动,保障信息安全等级保护测评工作的顺利开展,公安部下发了《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》(公信安[2010]303号),对等级测评工作、等级测评机构建设以及等级测评人员进行了规范。
要求开展等级测评的人员参加专门的培训和考试,并取得《信息安全等级测评师证书》(等级测评师分为初级、中级和高级)。
等级测评人员需持等级测评师证上岗。
公安部信息安全等级保护评估中心(以下简称“评估中心”)是由公安部为建立信息安全等级保护制度,构建国家信息安全保障体系而专门批准成立的专业技术支撑机构,评估中心受国家信息安全等级保护工作协调小组办公室委托,对从事等级测评的人员进行培训和考试,对考试合格人员颁发《信息安全等级测评师》证书。
1.等级测评师的分类及能力要求信息安全等级测评师分为初级等级测评师、中级等级测评师和高级等级测评师三级。
其中,初级等级测评师又分为技术和管理两类。
三级等级测评师能力要求如下:1)初级等级测评师●了解信息安全等级保护的相关政策、标准;●熟悉信息安全基础知识;●熟悉信息安全产品分类,了解其功能、特点和操作方法;●掌握等级测评方法,能够根据测评指导书客观、准确、完整地获取各项测评证据;●掌握测评工具的操作方法,能够合理设计测试用例获取所需测试数据;●能够按照报告编制要求整理测评数据。
2)中级等级测评师●熟悉信息安全等级保护相关政策、法规;●正确理解信息安全等级保护标准体系和主要标准内容,能够跟踪国内、国际信息安全相关标准的发展;●掌握信息安全基础知识,熟悉信息安全测评方法,具有信息安全技术研究的基础和实践经验;●具有较丰富的项目管理经验, 熟悉测评项目的工作流程和质量管理的方法,具有较强的组织协调和沟通能力;●能够独立开发测评指导书,熟悉测评指导书的开发、版本控制和评审流程;●能够根据信息系统的特点,编制测评方案,确定测评对象、测评指标和测评方法;●具有综合分析和判断的能力,能够依据测评报告模板要求编制测评报告,能够整体把握测评报告结论的客观性和准确性。
信息安全
重要信息系统保护人员培训指南 (Critical Information Infrastructure Protection Training:CIIPT)(V1.0)公安部信息安全等级保护评估中心二〇一一年九月0 前言随着我国信息化建设步伐的加快,信息系统建设已经达到了一个相当的规模,这些系统中承载着我国各行业的重要业务,正发挥越来越重要的作用,成为我国的关键信息基础设施(Critical Information Infrastructure)(或称为“重要信息系统”)。
这些关键信息基础设施的安全保护(Critical Information Infrastructure Protection:CIIP)越来越成为人们关注的焦点,其安全保护水平直接关系到我国公众利益、经济秩序和国家安全。
我国在信息安全保障方面正在全面实施信息安全等级保护制度,通过制度来保障我国重要信息系统的安全,通过制定一系列的政策、法规和标准,对重要信息系统的安全建设提出了明确的要求和指导意见。
信息安全等级保护制度需要信息系统的相关人员来实施,因此,人员培训是信息安全各项措施能否落实的关键。
中办发[2003]27号文件《国家信息化领导小组关于加强信息安全保障工作的意见》中提出了“加快信息安全人才培养,增强全民信息安全意识”的指导精神,强调了信息安全人才培养的重要性。
为了保障重要信息系统的安全建设和运行维护,重要信息系统的相关人员需要深入理解等级保护政策、标准和工作方法。
因此,有必要围绕重要信息系统的安全保护开展针对运营使用单位、安全服务提供商、IT行业相关人员的培训工作,在各部门、各行业中广泛开展和普及等级保护相关政策、标准、要求和方法。
让更多的人意识到等级保护制度对于我国重要系统安全稳定运行的重要性,并严格依据国家相关要求在信息系统规划设计、工程实施、运行维护和测评自查等各个环节中保障各项安全措施的贯彻落实。
公安部信息安全等级保护评估中心(以下简称“评估中心”)是由公安部为建立信息安全等级保护制度,构建国家信息安全保障体系而专门批准成立的专业技术支撑机构,目前,受国家信息安全等级保护工作协调小组办公室委托,正在开展信息安全等级测评师的培训、考试和发证工作。
信息安全等级保护系列标准
全国信安标委秘书处 上官晓丽国家信息安全等级保护安全建设工程师培训二○一五年十一月一、标准化基础知识二、国家信息安全等级保护标准的要求三、我国信息安全标准化工作的发展四、信息安全标准体系与标准分类五、信息安全等级保护标准简介基本概念——“标准( standard )”定义:为在一定的范围内获得最佳秩序、经协商一致制定并由公认机构批准、共同使用和重复使用的一种规范性文件。
理解:1)制定标准的目的是“为在一定范围内获得最佳秩序”和“促进最佳的共同效益”。
2)标准是共同使用和重复使用的一种规范性文件。
3)制定标准的对象是“活动或其结果”。
4)标准产生的基础是“科学、技术和经验的综合成果”。
5)标准需经过有关方面协商一致。
6)标准需经“公认机构”的批准。
基本概念——“标准化( standardization )”定义:为了在既定范围内获得最佳秩序,促进共同效益,对现实问题或潜在问题确立共同使用和重复使用的条款,编制、发布和应用文件的活动。
注1:标准化活动确立的条款,可形成标准化文件,包括标准和其他标准化文件。
注2:标准化的主要效益在于为了产品、过程和服务的预期目的改进它们的适用性,促进贸易、交流以及技术合作标准项目制定流程①立项阶段②准备阶段③起草、征求意见阶段④送审阶段⑤报批阶段国家相关政策文件▪(一)中华人民共和国国务院1994年2月18日147号令《中华人民共和国计算机信息系统安全保护条例》第二章第九条规定“计算机信息系统实行安全等级保护。
安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。
(二)2003年中共中央办公厅和国务院办公厅联合发布的中办发[2003]27号文件中要求:“抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”,“要加强信息安全标准化工作,抓紧制定急需的信息安全管理和技术标准,形成与国际标准衔接的中国特色的信息安全标准体系。
要重视信息安全标准的贯彻实施,充分发挥其基础性、规范性作用”。
电力系统等保定级指导V1.0
电⼒系统等保定级指导V1.0电⼒系统等保定级指导1引⾔为贯彻落实公安部、国家保密局、国家密码管理局、国务院信息化⼯作办公室《关于印发<信息安全等级保护管理办法>的通知》(公通字[2007]43号)、《关于开展全国重要信息系统安全等级保护定级⼯作的通知》(公信安[2007]861引⾔为贯彻落实公安部、国家保密局、国家密码管理局、国务院信息化⼯作办公室《关于印发<信息安全等级保护管理办法>的通知》(公通字[2007]43号)、《关于开展全国重要信息系统安全等级保护定级⼯作的通知》(公信安[2007]861号)和国家电⼒监管委员会《关于开展电⼒⾏业信息系统安全等级保护定级⼯作的通知》(电监信息[2007]34号)要求,指导电⼒⾏业信息系统安全保护定级⼯作,制定本意见。
2依据《关于印发<信息安全等级保护管理办法>的通知》(公通字[2007]43号)《关于开展全国重要信息系统安全等级保护定级⼯作的通知》(公信安[2007]861号)《关于开展电⼒⾏业信息系统安全等级保护定级⼯作的通知》(电监信息[2007]34号)3术语和定义3.1信息系统基于计算机或计算机⽹络,按照⼀定的应⽤⽬标和规则对信息进⾏采集、加⼯、存储、传输、检索和服务的系统。
3.2等级保护对象信息系统安全等级保护⼯作直接作⽤的具体的信息和信息系统。
3.3客体受法律保护的等级保护对象受到破坏时所侵害的社会关系,如国家安全,社会秩序、公共利益以及公民、法⼈或社会其他组织的合法权益。
3.4客观⽅⾯对客体造成侵害的客观外在表现,包括侵害⽅式和侵害结果等。
3.5系统服务信息系统为⽀撑其所承载业务⽽提供的程序化过程。
4⼯作组织国家电⼒监管委员会(以下简称电监会):组织领导并统⼀协调电⼒⾏业信息系统安全等级保护定级⼯作,对信息系统运营使⽤单位的定级⼯作进⾏督促、检查和指导。
电⼒⾏业信息系统安全等级保护定级⼯作专家组(以下简称专家组):对电⼒⾏业信息系统安全定级⼯作进⾏专家指导、咨询,对定级结果进⾏评审。
信息安全等级保护系列标准概述
一、标准化基础知识二、国家信息安全等级保护标准的要求三、我国信息安全标准化工作的发展四、信息安全标准体系与标准分类五、信息安全等级保护标准简介基本概念——“标准( s tandard )”定义:为在一定的范围内获得最佳秩序、经协商一致制定并由公认机构批准、共同使用和重复使用的一种规范性文件。
理解:1)制定标准的目的是“为在一定范围内获得最佳秩序”和“促进最佳的共同效益”。
2)标准是共同使用和重复使用的一种规范性文件。
3)制定标准的对象是“活动或其结果”。
4)标准产生的基础是“科学、技术和经验的综合成果”。
5)标准需经过有关方面协商一致。
6)标准需经“公认机构”的批准。
基本概念——“标准化( s tandardization )”定义:为了在既定范围内获得最佳秩序,促进共同效益,对现实问题或潜在问题确立共同使用和重复使用的条款,编制、发布和应用文件的活动。
注1:标准化活动确立的条款,可形成标准化文件,包括标准和其他标准化文件。
注2:标准化的主要效益在于为了产品、过程和服务的预期目的改进它们的适用性,促进贸易、交流以及技术合作标准项目制定流程①立项阶段②准备阶段③起草、征求意见阶段④送审阶段⑤报批阶段国家相关政策文件▪(一)中华人民共和国国务院1994年2月18日147号令《中华人民共和国计算机信息系统安全保护条例》第二章第九条规定“计算机信息系统实行安全等级保护。
安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。
(二)2003年中共中央办公厅和国务院办公厅联合发布的中办发[2003]27号文件中要求:“抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”,“要加强信息安全标准化工作,抓紧制定急需的信息安全管理和技术标准,形成与国际标准衔接的中国特色的信息安全标准体系。
要重视信息安全标准的贯彻实施,充分发挥其基础性、规范性作用”。
与27号文件相关的如66号等文件中进一步提出,信息系统安全、安全保护产品、安全事件处理等均贯彻分类、分级原则。
等级保护与分级保工作指南V1[1].0
![等级保护与分级保工作指南V1[1].0](https://img.taocdn.com/s3/m/6d5e4997daef5ef7ba0d3cb4.png)
内部资料等级保护与分级保护工作指南吉大正元信息技术股份有限公司2008年8月目录范围 (3)1背景与现状 (3)1.1等级保护思想的发展 (3)1.2政策发文情况 (4)1.3技术标准现状 (5)1.4工作开展现状 (6)2基本概念 (7)2.1基本含义 (7)2.2定级依据与等级划分 (8)2.3等级保护与分级保护对比表 (9)3等级保护工作流程与管理 (10)3.1等级保护整体工作流程 (10)3.2实施过程概述 (10)3.3等级保护各相关方的职责划分 (12)3.4用户等级保护的实施要求 (13)3.5主管部门的管理手段 (14)3.6等级保护对厂商和产品的资质管理 (14)4分级保护工作流程与管理 (15)4.1分级保护整体工作流程 (15)4.2实施过程概述 (15)4.3分级保护各相关方的职责划分 (18)4.4用户分级保护的实施要求 (20)4.5主管部门的管理手段 (20)4.6分级保护对厂商和产品的资质管理 (21)5FAQ (23)5.1等级保护FAQ (23)5.2分级保护FAQ (26)范围本文档描述了信息系统安全等级保护与涉密信息系统分级保护的背景、现状、基本概念、实施流程、主管部门的职责划分、用户的实施要求,以及对厂商的资质管理等内容,供公司内部人员了解和学习等级保护和分级保护参考。
1背景与现状1.1等级保护思想的发展➢信息系统分等级保护的思想在国际上已有二十多年的历史1983年美国国防部发布了《可信计算机系统评估准则》(TCSEC,俗称橘皮书),将计算机系统的安全等级分为D、C1、C2、B1、B2、B3和A1七个级别,开创了分等级保护的先河,之后欧洲将其发展为《信息技术安全性评估标准》(ITSEC),美国又在此基础上进一步完善推出了《通用安全评估准则》(CC)、《联邦信息和信息系统的安全分类标准》(FIPS 199)、《联邦信息系统安全控制》(SP 800-53)和《美国国家空间战略》等,完善了计算机系统安全分级制度,并逐步落实了分等级保护的方法。
信息安全等级保护基本要求 2008 等保1.0
信息安全等级保护基本要求 2008 等保1.0信息安全等级保护(简称等保)是中国国家强制实施的一项信息安全制度,旨在通过对信息系统进行分级分类,实施不同级别的安全保护措施,以确保信息系统的安全和可靠运行。
2008年发布的《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239-2008),通常被称为等保1.0,是该制度的首个正式标准。
等保 1.0将信息系统划分为五个安全保护等级,从低到高分别为:1. 一级保护:适用于安全性要求不高的信息系统,主要防范一般性的信息安全隐患。
2. 二级保护:适用于需要保护个人隐私和企业商业秘密的信息系统,要求有一定的安全防护能力。
3. 三级保护:适用于涉及国家安全、社会秩序和公共利益的信息系统,需要较高的安全防护水平。
4. 四级保护:适用于承担重要国计民生任务的信息系统,要求非常高的安全防护能力。
5. 五级保护:适用于国家安全的关键信息系统,要求最严格的安全防护措施。
等保1.0的基本要求包括以下几个方面:1. 物理安全:包括对信息系统所在环境的物理访问控制、防火、防水、防盗等措施。
2. 网络安全:包括网络隔离、入侵检测、防火墙设置、数据传输加密等措施。
3. 主机安全:包括操作系统安全加固、病毒防护、系统漏洞管理等措施。
4. 应用安全:包括软件安全开发生命周期管理、代码审计、安全测试等措施。
5. 数据安全与备份恢复:包括数据加密、完整性校验、备份策略和灾难恢复计划等措施。
6. 安全管理:包括制定安全政策、组织安全培训、进行安全审计和应急响应等措施。
等保 1.0的实施对于提升中国信息系统的安全管理水平起到了重要作用,但随着信息技术的快速发展和新的安全威胁的出现,等保1.0的一些内容已经不能完全满足当前的安全需求。
因此,中国在等保1.0的基础上进行了修订和升级,发布了《信息安全技术信息系统安全等级保护基本要求》新版本(等保2.0),以适应新的安全挑战。
等保2.0在原有基础上增加了对云计算、大数据、物联网等新技术的安全防护要求,并强化了数据安全和个人信息安全的重要性。
安数云擎安保等保一体机技术白皮书
安数云擎安保等保一体机技术白皮书北京安数云信息技术有限公司二〇一八年五月目录1背景介绍................................................................. 错误!未定义书签。
2等级保护................................................................. 错误!未定义书签。
2.1等保定义....................................................................... 错误!未定义书签。
2.2等保工作内容 ............................................................... 错误!未定义书签。
2.3等保等级划分 ............................................................... 错误!未定义书签。
2.4等保建设意义 ............................................................... 错误!未定义书签。
3产品概述................................................................. 错误!未定义书签。
4产品功能................................................................. 错误!未定义书签。
4.1自查评估....................................................................... 错误!未定义书签。
4.2整改加固....................................................................... 错误!未定义书签。
等保测评项目实施计划V1.0-模板
不动产登记信 息平台
不动产登记信 息平台
不动产登记信 息平台
不动产登记信 息平台
不动产登记信 息平台
不动产登记信 息平台
不动产登记信 息平台
不动产登记信 息平台
不动产登记信 息平台
不动产登记信 息平台
16
客户对测评建议进行整改
根据初步测评报告中安全问题和整改建议,客户自 行整改
不动产登记信 息平台
17
不动产登记信 息平台
不动产登记信 息平台
不动产登记信 息平台
不动产登记信 息平台
不动产登记信 息平台
不动产登记信 息平台
识别每个测评对象对象的测评指标
不动产登记信
识别每个测评对象对应的每个测试指标的测试方法 息平台
5
6
7
8
现场测评阶 段
9
10
11
分析与报告 12 编制阶段
13
14
测评指导书开发 测评方案编制 现场测评准备
信息安全等级保护测评项目阶段具体实
序号 项目阶段
阶段工作
工作内容
所属系统
1 2 调研阶段 3 4
方案编制阶 段
项目启动 信息收集和分析 工具和表单准备
测评对象确定 测评指标确定 工具测试点确定 测评内容确定
1.组建测评项目组 2.编制《项目实施计划书》 3定.级确报定告测分评析委分托析单位应提供的资料 1.整理调查表单 21..发调放试调测查评表工单具给测评委托单位 2.模拟被测系统搭建测评环境 3识.别模被拟测测系评统等级 识别被测系统的整体结构 识识别别被 被测测系系统统的业边务界信息和系统服务安全保护等级 选择对应等级的ASG三类安全要求作为测评指标 就确高定原 工则具调测整试多的个测定评级对对象象共用的某些物理安全或 选择测试路径 确定测试工具的接入点
计算机信息系统安全评估标准介绍
TCSEC
• 在B3级系统中,TCB必须满足访问监控器需求 • 访问监控器对所有主体对客体的访问进行仲裁 • 访问监控器本身是抗篡改的 • 访问监控器足够小 • 访问监控器能够分析和测试
. 26
TCSEC
为了满足访问控制器需求: ✓ 计算机信息系统可信计算基在构造时,排除那些对 实施安全策略来说并非必要的代码 ✓ 计算机信息系统可信计算基在设计和实现时,从系 统工程角度将其复杂性降低到最小程度
✓ 应提供形式化的高层规约,包括TCB功能的抽象定义、用于隔 离执行域的硬件/固件机制的抽象定义
. 33
TCSEC
✓ 应通过形式化的技术(如果可能的化)和非形式化的 技术证明TCB的形式化高层规约(FTLS)与模型是一 致的
✓ 通过非形式化的方法证明TCB的实现(硬件、固件、 软件)与形式化的高层规约(FTLS)是一致的。应证 明FTLS的元素与TCB的元素是一致的,FTLS应表达 用于满足安全策略的一致的保护机制,这些保护机制 的元素应映射到TCB的要素
功能的正确性将得到更多的关注
. 39
TCSEC
超A1级系统涉及的范围包括: ✓ 系统体系结构 ✓ 安全测试 ✓ 形式化规约与验证 ✓ 可信设计环境等
. 40
标准介绍
• 信息技术安全评估准则发展过程 • 可信计算机系统评估准则(TCSEC) • 可信网络解释 (TNI) • 通用准则CC • 《计算机信息系统安全保护等级划分准则》 • 信息安全保证技术框架 • 《信息系统安全保护等级应用指南》
隔离,使单个用户为其行为负责
. 17
四个安全等级: ➢ 无保护级 ➢ 自主保护级 ➢ 强制保护级 ➢ 验证保护级
TCSEC
. 18
网络安全等级保护解读
《网络安全等级保护定级指南》、 《网络安全等级保护基本要求 第 2 部分:云计算安全扩展要求》 等 4个公共安全行业等级保护标准。
刑法-条款
第二百八十 六条之一
【拒不履行信息网络安全管理义务罪】网络服务提供者不履 行法律、行政法规规定的信息网络安全管理义务,经监管部 门责令采取改正措施而拒不改正,有下列情形之一的,处三 年以下有期徒刑、拘役或者管制,并处或者单处罚金。
第二百五十 三条之一
【侵犯公民个人信息罪】违反国家有关规定,向他人出售或 者提供公民个人信息,情节严重的,处三年以下有期徒刑或 者拘役,并处或者单处罚金;情节特别严重的,处三年以上 七年以下有期徒刑,并处罚金。
等级保护标准政策-修订背景
⚫ 2001年国家标准GB/T 18336《信息技术 安全技术 信息技术安全性评估准则》 参照CC 即ISO/IEC 15408
2003年 中办发17号文件提出实行信息安全等级保护的任务 2004年 公通字66号文件 公安部、国家保密局、国家密码管理委员会办公室
、国务院信息办发布《关于信息安全等级保护工作的实施意见》 2007年 公通字[2007]43号文四部门发布《信息安全等级保护管理办法》
等级保护1.0标准政策
1994年 《中华人民共和国计算机信息系统安全保护条例》的发布 1999年 《计算机信息系统安全保护等级划分准则》 GB17859-1999发布 2001年 国家发改委“计算机信息系统安全保护等级评估体系及互联网络电子身份管理与安全保护 平台建设项目”(1110)工程实施
2003年 中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》 2004年 四部委联合签发了《关于信息安全等级保护工作的实施意见 》
明鉴信息安全等级保护检查工具箱产品白皮书
【文档密级:限制分发】明鉴®信息安全等级保护检查工具箱产品白皮书杭州安恒信息技术有限公司二〇一三年十二月文档编辑记录操作日期操作人操作说明版本号2013/10/21 冯旭杭创建文档V1.0 2013/10/21 邹龙调整了部分描述、增加了部分内容、图片V1.0 2013/10/23 莫金友精减相关功能描述V1.0目录1.背景 (5)2.产品概述 (6)2.1.产品概述 (6)2.2.产品组成与简介 (7)2.3.产品适用范围 (7)2.4.产品用途 (8)3.产品功能 (10)3.1.产品功能结构 (10)3.2.明鉴®信息安全等级保护工具箱主要功能 (11)3.2.1.在线安全检查 (11)3.2.1.1网站安全检查工具 (11)3.2.1.2 数据库安全检查工具 (11)3.2.1.U盘安全检查工具 (11)3.2.3.Windows主机配置检查工具 (11)3.2.4.Linux主机配置检查工具 (11)3.2.5.网络设备配置检查工具 (12)3.2.6.网站恶意代码检查工具 (12)3.2.7.主机病毒检查工具 (12)3.2.8.主机木马检查工具 (12)3.2.9.弱口令检查工具 (12)3.2.10.SQL注入验证检查工具 (13)3.2.11.辅助工具 (13)3.2.12.分析平台功能 (14)3.3.等级保护监察管理系统主要功能 (14)3.3.1.统一展现 (14)3.3.2.统计分析 (15)3.3.3.数据汇总 (15)3.3.4.检查管理 (16)3.3.5.资源管理 (16)3.3.6.日志管理 (17)4.产品部署与使用 (18)4.1.工具箱的部署与使用 (18)4.2.分析平台的部署与使用 (19)4.3.监察管理系统的部署与使用 (19)5.产品优势 (21)5.1.前瞻性 (21)5.2.权威性 (21)5.3.全面性 (21)5.4.准确性 (21)5.5.便捷性 (21)5.6.高效性 (21)5.7.兼容性 (21)5.8.安全性 (21)6.客户受益与结论 (22)1.背景从1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》,我国第一次提出信息系统由公安部门牵头实行等级保护开始,截止目前等级保护工作已经形成主管明确、标准完善、流程清晰、执行积极的良好态势。
信息安全等级保护测评流程介绍!
信息安全等级保护测评流程介绍!!信息安全等级保护测评流程介绍⼀、等级保护测评的依据:依据《信息系统安全等级保护基本要求》(公通字[2007]43号)》“等级保护的实施与管理”中的第⼗四条:信息系统建设完成后,运营、使⽤单位或者其主管部门应当选择符合本办法规定条件的测评单位,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。
第⼀级:⽤户⾃主保护级,⽬前1.0版本不需要去备案(提交材料公安部也会给备案证明),等保2.0是需要备案的;第⼆级:系统审计保护级,⼆级信息系统为⾃主检查或上级主管部门进⾏检查,建议时间为每两年检查⼀次;第三级:安全标记保护级,三级信息系统应当每年⾄少进⾏⼀次等级测评;第四级:结构化保护级,四级信息系统应当每半年⾄少进⾏⼀次等级测评;第五级:访问验证保护级,五级信息系统应当依据特殊安全需求进⾏等级测评。
⼆、等级保护⼯作的步骤运营单位确定要开展信息系统等级保护⼯作后,应按照以下步骤逐步推进⼯作:1、确定信息系统的个数、每个信息系统的等保级别、信息系统的资产数量(主机、⽹络设备、安全设备等)、机房的模式(⾃建、云平台、托管等)等。
2、对每个⽬标系统,按照《信息系统定级指南》的要求和标准,分别进⾏等级保护的定级⼯作,填写《系统定级报告》、《系统基础信息调研表》(每个系统⼀套)。
运营单位也可委托具备资质的等保测评机构协助填写上述表格。
3、对所定级的系统进⾏专家评审(⼆级系统也需要专家评审)。
4、向属地公安机关⽹监部门提交《系统定级报告》、《系统基础信息调研表》和信息系统其它新系统定级备案证明材料,获取《信息系统等级保护定级备案证明》(每个系统⼀份),完成系统定级备案阶段⼯作。
5、依据确定的等级标准,选取等保测评机构,对⽬标系统开展等级保护测评⼯作(具体测评流程见第三条)。
6、完成等级测评⼯作,获得《信息系统等级保护测评报告》(每个系统⼀份)后,将《测评报告》提交⽹监部门进⾏备案。
信息安全等级保护制度的主要内容和要求
• 2008年1月2日发布的国家安全总统令54/国土安全总统令 23,建立了国家网络安全综合计划(CNCI)。 • 三道防线 – 建立第一线防御:减少当前漏洞和隐患,预防入侵; – 全面应对各类威胁:增强反间能力,加强供应链安全 来抵御各种威胁; – 强化未来安全环境:增强研究、开发和教育以及投资 先进的技术来构建将来的环境。 • 十二项任务
重视关键基础设施信息安全保障,建立日尔曼人的“基线” 防御。 1997年建立部际关键基础设施工作组; 2005年出台《信息基础设施保护计划》和《关键基础设施保 护的基线保护概念》
法国信息安全保障体系建设动态
• 2003年12月总理办公室提出《强化信息系统安全国家计划 》并得到政府批准实施,四大目标: – 确保国家领导通信安全; – 确保政府信息通信安全; – 建立计算机反共济能力; – 将法国信息系统安全纳入欧盟颞部法国安全政策范围 。 • 2009年7月7日,成立国家级“网络和信息安全局”,置于 总理领导之下,隶属国防部。
印度
• 重点保护对象: – 银行和金融、保险、民航、电信、原子能、电力、邮政 、铁路、太空、石油和天然气、国防、执法机关
• 机构: – 国家信息委员会、国家信息安全协调中心、信息基础设 施保护中心、信息技术局、印度计算机应急响应小组 • 基本做法: – 2000年,颁布《信息安全法》; – 积极推广互联网和IT基础设施建设等; – 2009年印度政府宣布开发“中央监控系统”,直接连接 国内所有通信服务商,实现对印度境内所有电话和互联 网通信的监听
信息安全是国家安全的重要组成部分已成为世界各国 的共识;
各国纷纷出台自己的信息安全战略和政策,加强自身 的国家信息安全保障体系建设。
国外信息安全保障体系的最新趋势
国家信息安全等级制度与等级保护
国家信息安全等级制度与等级保护单选题(共7题,每题5分)1、《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》是以贯彻落实网络安全等级保护制度和关键信息基础设施()为基础。
正确答案: D、安全保护制度2、网络安全等级保护1.0主要内涵要义就是信息系统要分等级保护,系统里的信息安全产品要分等级管理,()。
正确答案:D、信息安全事件要分等级响应处置3、中共中央办公厅关于印发《党委(党组)网络安全工作责任制实施办法》的通知中明确了各级党委(党组)()的网络安全责任体系。
正确答案:A、领导班子、领导干部4、要按照国家网络安全等级保护制度的要求,各单位各部门在公安机关的指导监督下,认真组织深入开展网络安全等级保护工作,建立良好的网络安全保护的生态,切实履行(),全面提升网络安全保护的能力。
正确答案:D、主体责任5、()《计算机信息系统安全保护条例》等法律法规和网络安全责任制落实情况是网络安全执法检查中制度落实情况的主要内容之一。
正确答案:D、《网络安全法》6、网络安全等级保护2.0标准中的等级保护对象包括()系统。
正确答案:D、网络和信息7、网络安全保护“三化六防”措施的“六防”是指:动态防御、主动防御、纵深防御、精准防护、()、联防联控。
正确答案:A、整体防控多选题(共6题,每题5分)1、每个人都该学点儿网络安全的原因是()。
正确答案:B、每个人都身处信息革命这一时代洪流之中C、我们对网络安全存在很多的盲区D、网络安全已成为每个公民的责任义务2、网络空间的新作用包括:信息传播的新渠道、生产生活的新空间、()。
正确答案:A、经济发展的新引擎B、文化繁荣的新载体C、社会治理的新平台D、交流合作的新纽带E、国家主权的新疆域3、进一步深化网络定级备案工作,全面梳理本单位各类网络,特别是()等新技术应用的基本情况。
正确答案:A、云计算B、物联网C、新型互联网D、大数据E、智能制造4、根据本讲,培育国际消费城市要做到()。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
技术白皮书
信息安全等级保护
文件更改记录
目录
1简介 (1)
2分级 (1)
3实施原则 (1)
4备案 (2)
5办理 (2)
6定期测评 (3)
7标准规范 (3)
7.1十大重要标准 (3)
7.2其他相关标准 (3)
8相关书籍 (4)
8.1《信息安全等级保护政策培训教程》 (4)
1 简介
信息系统安全等级测评是验证信息系统是否满足相应安全保护等级的评估过程,信息安全等级保护简称等保。
信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。
两个层面:安全技术、安全管理。
2 相关法律法规
《信息安全等级保护管理办法》
3 分级
信息安全等级保护共划分为五个等级。
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
4 实施原则
根据《信息系统安全等级保护实施指南》精神,手册上明确了以下基本原则:
自主保护原则:信息系统运营、使用单位及其主管部门按照国家相关法规和标准,
自主确定信息系统的安全保护等级,自行组织实施安全保护。
重点保护原则:根据信息系统的重要程度、业务特点,通过划分不同安全保护等级的信息系统,实现不同强度的安全保护,集中资源优先保护涉及核心业务或关键信息资产的信息系统。
同步建设原则:信息系统在新建、改建、扩建时应当同步规划和设计安全方案,投入一定比例的资金建设信息安全设施,保障信息安全与信息化建设相适应。
动态调整原则:要跟踪信息系统的变化情况,调整安全保护措施。
由于信息系统的应用类型、范围等条件的变化及其他原因,安全保护等级需要变更的,应当根据等级保护的管理规范和技术标准的要求,重新确定信息系统的安全保护等级,根据信息系统安全保护等级的调整情况,重新实施安全保护。
5 备案
第二级以上信息系统,应当在安全保护等级确定后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
新建第二级以上信息系统,应当在投入运行后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
6 办理
办理信息系统安全保护等级备案手续时,应当填写《信息系统安全等级保护备案表》,第三级以上信息系统应当同时提供以下材料:
(一)系统拓扑结构及说明;
(二)系统安全组织机构和管理制度;
(三)系统安全保护设施设计实施方案或者改建实施方案;
(四)系统使用的信息安全产品清单及其认证、销售许可证明;
(五)测评后符合系统安全保护等级的技术检测评估报告;
(六)信息系统安全保护等级专家评审意见;
(七)主管部门审核批准信息系统安全保护等级的意见。
7 定期测评
依据《信息安全等级保护管理办法》第十四条规定,第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。
8 标准规范
8.1 十大重要标准
计算机信息系统安全等级保护划分准则(GB 17859-1999)(基础类标准)
信息系统安全等级保护实施指南(GB/T 25058-2010)(基础类标准)
信息系统安全保护等级定级指南(GB/T 22240-2008)(应用类定级标准)
信息系统安全等级保护基本要求(GB/T 22239-2008)(应用类建设标准)
信息系统通用安全技术要求(GB/T 20271-2006)(应用类建设标准)
信息系统等级保护安全设计技术要求(GB/T 25070-2010)(应用类建设标准)信息系统安全等级保护测评要求(GB/T 28448-2012)(应用类测评标准)
信息系统安全等级保护测评过程指南(GB/T 28449-2012)(应用类测评标准)信息系统安全管理要求(GB/T 20269-2006)(应用类管理标准)
信息系统安全工程管理要求(GB/T 20282-2006)(应用类管理标准)
8.2 其他相关标准
GB/T 21052-2007 信息安全技术信息系统物理安全技术要求
GB/T 20270-2006 信息安全技术网络基础安全技术要求
GB/T 20271-2006 信息安全技术信息系统通用安全技术要求
GB/T 20272-2006 信息安全技术操作系统安全技术要求
GB/T 20273-2006 信息安全技术数据库管理系统安全技术要求
GB/T 20984-2007 信息安全技术信息安全风险评估规范
GB/T 20985-2007 信息安全技术信息安全事件管理指南
GB/Z 20986-2007 信息安全技术信息安全事件分类分级指南GB/T 20988-2007 信息安全技术信息系统灾难恢复规范
9 相关书籍
9.1 《信息安全等级保护政策培训教程》
书名:信息安全等级保护政策培训教程
作者:公安部信息安全等级保护评估中心编著
ISBN 978-7-121-10885-3
出版日期:2010年6月
定价:45.00元
开本:16开
页码:292 页。