3信息安全等级保护ppt
合集下载
网络安全法与等级保护ppt课件
对于违反《网络安全法》的处罚视情节严重,处罚措施分为: 1、责令改正,给予警告; 2、拒不改正或者导致危害网络安全等后果的,对企业处1-100万罚款,对直接负 责的主管人员和其他直接责任人员处1-10万罚款; 3、并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊 销营业执照。
病原体侵入机体,消弱机体防御机能 ,破坏 机体内 环境的 相对稳 定性, 且在一 定部位 生长繁 殖,引 起不同 程度的 病理生 理过程
公司1-10万,主管5千-5万。
病原体侵入机体,消弱机体防御机能 ,破坏 机体内 环境的 相对稳 定性, 且在一 定部位 生长繁 殖,引 起不同 程度的 病理生 理过程
根据《网络安全法》第六章-法律责任相关条款解释:本法律处罚力度空前严格,处 罚不仅涉及到企业,而且涉及到法人、管理人员、一般员工等多个层面;既有经济处罚, 也有行政处罚。
②法律责任:由有关主管部门责令改正,给予警告;拒不改正或 者导致危害网络安全等后果的,处10万元以上100万元以下罚款 ,对直接负责的主管人员处1万元以上10万元以下罚款。
病原体侵入机体,消弱机体防御机能 ,破坏 机体内 环境的 相对稳 定性, 且在一 定部位 生长繁 殖,引 起不同 程度的 病理生 理过程
划分准则--GB 17859-1999
第一级为自主保护级,适用于一般的信息和信息系统,其受到破 坏后,会对公民、法人和其他组织的合法权益造成一定损害,但不损 害国家安全、社会秩序和公共利益。
第二级为指导保护级,信息系统受到破坏后,会对公民、法人 和其他组织的合法权益造成严重损害,或者对社会秩序和公共利益造 成损害,但不损害国家安全。
《网络安全法》自2017年6月1日正式实施,网络安全等级保护制度已经上升为 法律规定的强制义务,这是我国自1994年发布实施《中华人民共和国计算机信息 系统保护条例》将“等级保护”明确为我国计算机安全保护的根本制度以来,首 次将其写入法律。
病原体侵入机体,消弱机体防御机能 ,破坏 机体内 环境的 相对稳 定性, 且在一 定部位 生长繁 殖,引 起不同 程度的 病理生 理过程
公司1-10万,主管5千-5万。
病原体侵入机体,消弱机体防御机能 ,破坏 机体内 环境的 相对稳 定性, 且在一 定部位 生长繁 殖,引 起不同 程度的 病理生 理过程
根据《网络安全法》第六章-法律责任相关条款解释:本法律处罚力度空前严格,处 罚不仅涉及到企业,而且涉及到法人、管理人员、一般员工等多个层面;既有经济处罚, 也有行政处罚。
②法律责任:由有关主管部门责令改正,给予警告;拒不改正或 者导致危害网络安全等后果的,处10万元以上100万元以下罚款 ,对直接负责的主管人员处1万元以上10万元以下罚款。
病原体侵入机体,消弱机体防御机能 ,破坏 机体内 环境的 相对稳 定性, 且在一 定部位 生长繁 殖,引 起不同 程度的 病理生 理过程
划分准则--GB 17859-1999
第一级为自主保护级,适用于一般的信息和信息系统,其受到破 坏后,会对公民、法人和其他组织的合法权益造成一定损害,但不损 害国家安全、社会秩序和公共利益。
第二级为指导保护级,信息系统受到破坏后,会对公民、法人 和其他组织的合法权益造成严重损害,或者对社会秩序和公共利益造 成损害,但不损害国家安全。
《网络安全法》自2017年6月1日正式实施,网络安全等级保护制度已经上升为 法律规定的强制义务,这是我国自1994年发布实施《中华人民共和国计算机信息 系统保护条例》将“等级保护”明确为我国计算机安全保护的根本制度以来,首 次将其写入法律。
《信息安全等级保护》PPT课件
• 信息安全等级保护的关键所在正是基于信息系 统所承载应用的重要性,以及该应用损毁后带 来的影响程度来判断风险是否控制在可接受的 范围内。
精选PPT
6
原则
• 谁主管谁负责、谁运营谁负责 • 自主定级、自主保护、监督指导
精选PPT
7
主要流程
一是:定级。
二是:备案。
三是:系统建设、整改。
四是:等级测评。
• 对技术要求
– ‘访谈’方法:
• 目的是了解信息系统的全局性。 • 范围一般不覆盖所有要求内容。
– ‘检查’方法:
• 目的是确认信息系统当前具体安全机制和运行的配 置是否符合要求 。
• 范围一般要覆盖所有要求内容。
– ‘测试’方法:
• 目的是验证信息系统安全机制有效性和安全强度。
• 范围不覆盖所有要求内容。
– 第三级,信息系统受到破坏后,会对社会秩序和公共 利益造成严重损害,或者对国家安全造成损害。
– 第四级,信息系统受到破坏后,会对社会秩序和公共 利益造成特别严重损害,或者对国家安全造成严重损 害。
– 第五级,信息系统受到破坏后,会对国家安全造成特 别严重损害。
精选PPT
10
定级原理(2)
• 定级要素
精选PPT
22
22
关系2
一级系统
通信/边界(基本)
二级系统
通信/边界/内部(关键设备)
三级系统
通信/边界/内部(主要设备)
通信/边界/内部/基础设施(所有设备) 四级系统
精选PPT
23
23
关系3
一级系统
计划和跟踪(主要制度)
二级系统
计划和跟踪(主要制度)
良好定义(管理活动制度化) 三级系统
等级保护宣讲-ppt课件
第五阶段:由于公安的强势管理和重视安全的企业的自我觉醒,民企发现,做安全,除等保外没有别的选择。
部委
省厅单位
三甲医院、高校、央企 省属国企、大金融、运营商
地级市委办局、县委办局、普教 普通医院、市属国企、其他事业单位
民营企业包括:互联网、电子商务、小金融、 物流、具有品牌影响力的公司和其他规模公司
目前,全国范围内正在处于第三阶段,落后地区第二阶段还只完成部分,发达地区已经尝试从第三阶段迈入第四第五阶段。
1
背景知识
用户开展等级保护建设的意义
安全体系
责任分担
以等级保护为标准开展安全建设,让安全建设更加体系化,可以从物理、网络、主机、应用和数据多个方面成体系的进行安全建设,再也不是头痛医头脚痛医脚,对本单位的安全建设有整体的规划和思路。
安全建设体系化
责任更清晰
完成等保测评意味着公安机关认可你的安全现状,一旦发生安全事件是意外。如果没有进行等级保护测评意味着你没有达到国家要求,一旦发生安全事件要自己承担相关责任。
3
等保工作
3
等保工作
等保 工作
新系统上线、网络架构调整时,都要再重新做等保规划建设; 等保建设是持续性的,每年测评只要有问题,就要做整改。
等级保护建设中的角色
公安机关备案的测评机构
主要承担系统测评的工作,只有在当地公安机关备案的测评机构才可以开展测评工作。
集成商、安全厂商
根据咨询服务单位提供的整改方案,要采购相应的安全设备和服务,这些内容由集成商和安全厂商提供。
3
等保工作
等级保护的等级划分
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益; 第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全; 第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害; 第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害; 第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
部委
省厅单位
三甲医院、高校、央企 省属国企、大金融、运营商
地级市委办局、县委办局、普教 普通医院、市属国企、其他事业单位
民营企业包括:互联网、电子商务、小金融、 物流、具有品牌影响力的公司和其他规模公司
目前,全国范围内正在处于第三阶段,落后地区第二阶段还只完成部分,发达地区已经尝试从第三阶段迈入第四第五阶段。
1
背景知识
用户开展等级保护建设的意义
安全体系
责任分担
以等级保护为标准开展安全建设,让安全建设更加体系化,可以从物理、网络、主机、应用和数据多个方面成体系的进行安全建设,再也不是头痛医头脚痛医脚,对本单位的安全建设有整体的规划和思路。
安全建设体系化
责任更清晰
完成等保测评意味着公安机关认可你的安全现状,一旦发生安全事件是意外。如果没有进行等级保护测评意味着你没有达到国家要求,一旦发生安全事件要自己承担相关责任。
3
等保工作
3
等保工作
等保 工作
新系统上线、网络架构调整时,都要再重新做等保规划建设; 等保建设是持续性的,每年测评只要有问题,就要做整改。
等级保护建设中的角色
公安机关备案的测评机构
主要承担系统测评的工作,只有在当地公安机关备案的测评机构才可以开展测评工作。
集成商、安全厂商
根据咨询服务单位提供的整改方案,要采购相应的安全设备和服务,这些内容由集成商和安全厂商提供。
3
等保工作
等级保护的等级划分
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益; 第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全; 第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害; 第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害; 第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
信息安全等级保护制度的主要内容和要求(PPT 134页)
• 强化网络监控,规定警方和国家安全、税务等监察部门有 权监控电子邮件和移动电话等系统,成为西方大国中唯一 的政府可以要求网络用户交出加密资料密钥的国家
英国信息安全保障的重点对象
• 英国国计民生不可或缺的许多关键服务依赖信息技术, 有10个部分被认为是在提供“基本服务”。
英国信息安全保障基本做法
其中银行和金融被全部24个接受CIIP调查的国家列 为国家关键基础设施。
分析总结——信息安全组织机构
少数国家在中央政府一级设立机构专门负责处理网络 信息安全问题,如美国;大多数国家信息安全管理职 能由不同政府部门的多个机构和单位共同承担;
机构单位的设立,以及机构在信息安全管理中的影响 力,受到民防传统、资源配置、历史经验以及决策者 对信息安全威胁总体认识程度的影响;
美国信息安全保障基本做法
• 1993年克林顿政府提出兴建“国家信息基础设施”(信息 高速公路),1998年首次提出信息安全的概念和意义; • 1998年5月国家安全局制定了《信息保障技术框架》; • 2000年公布首个《信息系统保护国家计划》; • 2002年下半年,以《国土安全战略》为引导,布什政府逐 步出台一系列国家安全政策,将信息保障战略纳入总体国家 战略之中:
•2001年10月16日, 布什政府意识到 了911之后信息安 全的严峻性,发 布了第13231号 行政令《信息时 代的关键基础设 施保护》,宣布 成立“总统关键 基础设施保护委 员会”,简称 PCIPB,代表政 府全面负责国家 的网络空间安全 工作
美国CNCI:网络“曼哈顿计划”
• 2008年1月2日发布的国家安全总统令54/国土安全总统令 23,建立了国家网络安全综合计划(CNCI)。 • 三道防线
PDD63
•98
英国信息安全保障的重点对象
• 英国国计民生不可或缺的许多关键服务依赖信息技术, 有10个部分被认为是在提供“基本服务”。
英国信息安全保障基本做法
其中银行和金融被全部24个接受CIIP调查的国家列 为国家关键基础设施。
分析总结——信息安全组织机构
少数国家在中央政府一级设立机构专门负责处理网络 信息安全问题,如美国;大多数国家信息安全管理职 能由不同政府部门的多个机构和单位共同承担;
机构单位的设立,以及机构在信息安全管理中的影响 力,受到民防传统、资源配置、历史经验以及决策者 对信息安全威胁总体认识程度的影响;
美国信息安全保障基本做法
• 1993年克林顿政府提出兴建“国家信息基础设施”(信息 高速公路),1998年首次提出信息安全的概念和意义; • 1998年5月国家安全局制定了《信息保障技术框架》; • 2000年公布首个《信息系统保护国家计划》; • 2002年下半年,以《国土安全战略》为引导,布什政府逐 步出台一系列国家安全政策,将信息保障战略纳入总体国家 战略之中:
•2001年10月16日, 布什政府意识到 了911之后信息安 全的严峻性,发 布了第13231号 行政令《信息时 代的关键基础设 施保护》,宣布 成立“总统关键 基础设施保护委 员会”,简称 PCIPB,代表政 府全面负责国家 的网络空间安全 工作
美国CNCI:网络“曼哈顿计划”
• 2008年1月2日发布的国家安全总统令54/国土安全总统令 23,建立了国家网络安全综合计划(CNCI)。 • 三道防线
PDD63
•98
信息安全等级保护培训0207ppt精品模板分享(带动画)
国际信息安全标准组织
我国的信息安全标准体系
信息安全标准的制定与实施
信息安全认证认可体系
定义:信息安全认证认可体系是指由权威机构对信息安全产品和服务及其提供者进行认证认可 的制度安排。
目的:确保信息安全产品和服务符合国家法律法规、标准和技术规范的要求,提高信息安全保 障能力和水平。
认证认可机构:国家认监委、中国信息安全认证中心等。
05
信息安全应急响应 和处置
信息安全应急响应的概念和流程
定义:在信息安 全事件发生后, 组织采取的应急 措施和处置过程
目的:及时响应 并处理事件,降 低损失,防止事 态扩大
流程:监测与预 警、应急响应启 动、信息报告与 共享、处置与恢 复、总结与改进
信息安全应急响 应计划:为应对 信息安全事件而 制定的预先安排 的计划和措施
信息安全事件处置的方法和步骤
定义:对发生的 信息安全事件进 行应急响应和处 置的过程
目的:减轻事件 危害、恢复系统、 重建信任
步骤:发现事件、 响应、处置、恢 复、总结
人员:安全管理 员、技术支持人 员、业务人员、 主管领导
信息安全恢复和重建计划
定义:在信息安全事件发生后,为恢复信息系统正常运行、减小影响、恢复业务而制定的计划。 目的:确保业务连续性、减小损失、恢复信心。 内容:包括备份和恢复策略、应急响应流程、处置流程、事后总结等。 实施:需要与业务部门密切合作,确保计划的可行性和有效性。
改或者销毁。
信息安全的重要 性:保障组织的 正常运转,保护 组织的声誉和利 益,确保个人隐 私和财产安全。
信息安全的威胁: 网络攻击、病毒、 勒索软件、钓鱼
攻击等。
信息安全的措 施:加强安全 意识教育,建 立完善的安全 管理制度,使 用安全防护软 件和设备,定 期进行安全检
信息安全等级保护政策体系-PPT
第2部分
信息安全等级保护政策体系和标准体系
5.信息安全等级保护主要标准简要说明
(2)《信息系统安全等级保护基本要求》(GB/T22239—2008) 1)主要作用
不同安全保护等级的信息系统有着不同的安全需求,为此,针对不同等级的信息系统提出了相应 的基本安全保护要求,各个级别信息系统的安全保护要求构成了《信息系统安全等级保护基本要求》。 2)主要内容
第2部分
信息安全等级保护政策体系和标准体系
5.信息安全等级保护主要标准简要说明
(2)《信息系统安全等级保护基本要求》
(GB/T22239—2008) 2)主要内容 保护要求的分级方法
网络恶意代码防 范、剩余信息保 护、抗抵赖
安全保护能力逐级增高,相应的安全保护
要求和措施逐级增强
监控管理和安全 管理中心
信息保密与信息安全
保密、常识、技术、意识教育
政策体系和标准体系
第2部分
信息安全等级保护政策体系和标准体系
1.信息安全等级保护政策体系
(1)总体方面的政策文件 《关于信息安全等级保护工作的实施意见》(公通字 [2004]66 号) 《信息安全等级保护管理办法》(公通字 [2007]43 号) (2)具体环节的政策文件 对应等级保护工作的具体环节(信息系统定级、备案、 安全建设整改、等级测评、安全检查),公安部出台了 相应的政策规范。
第2部分
信息安全等级保护政策体系和标准体系
2.信息安全等级保护标准体系
他类标准 1)风险评估 《信息安全风险评估规范》(GB/T 20984—2007)。 2)事件管理 《信息安全事件管理指南》(GB/Z 20985—2007); 《信息安全事件分类分级指南》(GB/Z 20986—2007); 《信息系统灾难恢复规范》(GB/T 20988—2007)。
信息系统安全等级保护培训课件(PPT 36页)
区域边界保护
保护计算环境
保护计算环境
实现集中安全管理
落实安全管理措施
三级系统安全管理措施
- 建立全面的安全管理制度,并安排专人负责并监控执行情况; - 建立全面的人员管理体系,制定严格的考核标准 - 建设过程的各项活动都要求进行制度化规范,按照制度要求进行 活动的开展 - 实现严格的保密性管理 - 成立安全运维小组,对安全维护的责任落实到具体的人 - 引入第三方专业安全服务
物理安 • 需要到物理机房实地检查,请提前申请进入机房的相关手续,并协调查看机房管理相关管理记录 全
网络安 • 需要登录网络设备、安全设备检查相关配置及漏洞扫描,请分配可接入的网络端口及地址,提供配置文件
全 主机安 • 需要登录相关主机设备检查相关配置及漏洞扫描,请分配可接入的网络端口及地址 全 应用安 • 请提供应用系统访问地址,以及访问该应用所需的网络地址,帐户名称、口令以及其它鉴别方式所需软硬件设备 全
分级保护系列标准规范
《涉及国家秘密的计算机信息系统分级保 护技术要求》BMB17-2006 《涉及国家秘密计算机信息系统安全保密 方案设计指南》 BMB23-2008 涉密信息系统安全保障建设 《涉及国家秘密计算机信息系统分级保护 指南 管理规范》BMB20-2007 《涉及国家秘密的信息系统分级保护测评 指南》BMB22—2007 《涉及国家秘密计算机信息系统分级保护 管理办法 》国家保密局16号
管理制 • 请提供安全管理制度电子档或纸质版本,以及相关记录文件
度
1、最灵繁的人也看不见自己的背脊。——非洲 2、最困难的事情就是认识自己。——希腊 3、勇猛、大胆和坚定的决心能够抵得上武器的精良。——达· 芬奇 4、与肝胆人共事,无字句处读书。——周恩来 5、一个人即使已登上顶峰,也仍要自强不息。——罗素· 贝克 6、一切节省,归根到底都归结为时间的节省。——马克思 7、自知之明是最难得的知识。——西班牙 8、勇气通往天堂,怯懦通往地狱。——塞内加 9、有时候读书是一种巧妙地避开思考的方法。——赫尔普斯 10、阅读一切好书如同和过去最杰出的人谈话。——笛卡儿 11、有勇气承担命运这才是英雄好汉。——黑塞 12、只有把抱怨环境的心情,化为上进的力量,才是成功的保证。——罗曼· 罗兰 13、知人者智,自知者明。胜人者有力,自胜者强。——老子 14、意志坚强的人能把世界放在手中像泥块一样任意揉捏。——歌德 15、最具挑战性的挑战莫过于提升自我。——迈克尔· F· 斯特利 16、业余生活要有意义,不要越轨。——华盛顿 17、意志是一个强壮的盲人,倚靠在明眼的跛子肩上。——叔本华 18、最大的挑战和突破在于用人,而用人最大的突破在于信任人。——马云 19、我这个人走得很慢,但是我从不后退。——亚伯拉罕· 林肯 20、要掌握书,莫被书掌握;要为生而读,莫为读而生。——布尔沃 21、要知道对好事的称颂过于夸大,也会招来人们的反感轻蔑和嫉妒。——培根 22、业精于勤,荒于嬉;行成于思,毁于随。——韩愈 23、最大的骄傲于最大的自卑都表示心灵的最软弱无力。——斯宾诺莎 24、知之者不如好之者,好之者不如乐之者。——孔子 25、学习是劳动,是充满思想的劳动。——乌申斯基 26、要使整个人生都过得舒适、愉快,这是不可能的,因为人类必须具备一种能应付逆境的态度。——卢梭 27、越是无能的人,越喜欢挑剔别人的错儿。——爱尔兰 28、意志命运往往背道而驰,决心到最后会全部推倒。——莎士比亚 29、越是没有本领的就越加自命不凡。——邓拓 30、阅读使人充实,会谈使人敏捷,写作使人精确。——培根
信息安全等级保护课件
• 2、网络设备
序号 1
名称 路由器
型号 Quidway AR 46-20
2
交换机 Quidway S2403H-EI
3
交换机 Quidway S3928P-EI
4 外层防火墙 天融信NGFW4000-G +
系统
ANTIVIRUS-MODULE-500
操作系统 Ios Ios Ios Ios
信息安全等级保护
• 测评实施
• 一、确定资产与边界 (范围)
• 1、操作系统
序号
名称
型号
1 门户服务器 IBM openpower 710
3 应用/DB服务器
4
RA服务器
IBM p550 信安服务器
操作系统 SUSE Linux AIX5.2 pack6 SUSE Linux
信息安全等级保护
信息安全等级保护测评方法和意义
家安全
侵害的程度
一般损害 严重损害
特别严重损害
业务信息安全被破坏时所侵害的客体 系统服务安全被破坏时所侵害的客体
公民、法人和其他组织的合法权益 社会秩序、公共利益 国家安全
对相应客体的侵害程度
一般损害
严重损害
第一级
第二级
第二级
第三级
第三级
信息安全等级保护
第四级
特别严重损害 第二级 第四级 第五级
信息安全等级保护测评方法和意义
信息安全等级保护
信息安全等级保护的目的
信息安全等级保护
信息安全等级保护实施步骤
信息系统安全保护 等级的划分与保护
信息系统安全保 护等级的确定
备案和备案审核
信息系统安全建设 整改、等级测评
备案审核
信息安全等级保护培训教材PPT92页课件
……
TCP/IP IPX/SPX SNMP
……
场地 机房 网络布线 设备 存储设备
……
各级系统的保护要求差异
信息安全管理生命周期
建设管理
运维管理
系统定级 方案设计 产品使用 自行开发 系统交付 测试验收 工程实施 软件外包
设 介资 环密
备 质产 境码
恶 意 理
✓ 系统测评:《信息系统安全等级保护测评要求》是针对《信息安全等 级保护基本要求》的具体控制要求开发的测评要求,旨在强调系统按 照《信息安全等级保护基本要求》进行建设完毕后,检验系统的各项 保护要求是否符合相应等级的基本要求。
✓ 由上可见,《信息安全等级保护基本要求》在整个标准体系中起着承 上启下的作用。相关技术要求可以作为《信息安全等级保护基本要求 》的补充和详细指导标准。
公通字[2006]7号文 ✓ 明确了信息安全等级保护的具体要求。 ✓ 为推广和实施信息安全等级保护提供法律保障。
公信安[2007]861号 ✓ 标志着等级保护工作正式推向实施阶段。
等级保护政策依据
公通字[2007]43号文 2007.6.22
➢ 明确主管单位: 公安机关负责信息安全等级保护工作的监督、检查
、指导。
国家保密部门负责等保中保密工作的监督、检查、 指导。
国家密码管理部门负责等保中有关密码工作的监督 、检查、指导。
➢ 确定5个等级,但去掉了[2006 7号文]“自主保护 ”、“指导保护”、“监督保护”等称为。
等级保护政策依据
公通字[2007]43号文
五个等级的基本情况
➢ 第一级:运营、使用单位根据国家管理规范、技术标准自 主防护。
/ /
一级 9 9 6 7 2
3 4 7 20 18 85 /
【等保培训PPT】信息安全等级保护制度的主要内容
目录
第二章、等级保护政策体系和标准体系
① ② 信息安全等级保护政策体系 信息安全等级保护标准体系
2.1、信息安全等级保护政策体系
2.2、信息安全等级保护标准体系
在 安 等全 级建 保设 护整 有改 关工 标作 准的 作 用
目录
第三章、等级保护工作的具体内容和要求
① ② ③ ④ ⑤ 信息安全等级保护定级工作 信息安全等级保护备案工作 信息系统安全建设整改工作 信息安全等级保护测评工作 安全自查和监督检查
1.3、国家等级保护制度的要求
1、《中华人民共和国计算机信息系公统安全保护条例》( 国务院147号令) “计算机信息系统实行安全等级保护,安 全等级的划分标准和安全等级保护的具体办法,由公安部会 同有关部门制定” 。 2.《国家信息化领导小组关于加强信息安全保障工作的意见 》(中公办发[2003]27号)规定:要重点保护基础信息网络 和关系国家安全、经济命脉、社会稳定等方面的重要信息系 统,抓紧建立信息安全等级保护制度,制定信息安全等级保 护的管理办法和技术指南。
信息安全等级保护制度 的主要内容和要求
苏阳浪 信息安全等级保护高级测评师 海南省信息安全等级保护专家组委员会技术组成员 邮箱:suyanglang@
目 录
• 一、信息安全等级保护工作概述 • 二、等级保护政策体系和标准体系 • 三、信息安全等级保护工作的具体内容与要求
目录
3.1、信息安全等级保护定级工作
• 是信息安全等级保护的首要环节 • 定级原则:“自主定级、专家评审、主管部门审批、公安 机关审核”。具体可按照《关于开展全国重要信息系统安 全等级保护定级工作的通知》 (公通字[2007]861号) 要求执行。 • 在等级保护工作中,信息系统运营使用单位和主管部门按 照“谁主管谁负责,谁运营谁负责”的原则开展工作,并 接受信息安全监管部门对开展等级保护工作的监管。 • 定级工作流程:确定定级对象、确定信息系统安全保护等 级、组织专家评审、主管部门审批、公安机关审核。
信息安全等级保护PPT课件
20
应用安全整改要点
21
数据库安全及备份恢复整改要点
22
二级和三级等保具体要求对比
23
THANK YOU
By:cqvip - 张泽军
24
20
系统运维管理
18
—
85
—
—
4
8
7
11
9
20
11
16
28
45
41
62
175
290
90
115
14
安全策略体系
15
等级划分准则(GB 17859—1999)
16
等保要求(技术&管理)
物理安全;网络安全;主机安全; 应用安全;数据库安全及备份恢复
17
物理安全整改要点
18
网络安全整改要点
19
主机安全整改要点
等 级 保 张泽军 护
1
目录 CONTENTS
一、等级保护背景 二、等级保护要点 三、等级保护(技术&管理)
2
等级保护背景
信息安全作用和战略意义 信息安全保护发展历史 我国重要的信息安全保护标准
3
信息安全作用和战略意义
威胁事件
2012.7 雅虎服务器被黑 45万用户信息泄露 2013.10 慧达驿站软件漏洞导致连锁酒店数据库被拖库
2000万条开房记录泄露 2018.3 facebook数据外泄,被欧美等国问责调查,市
值蒸发360亿美元
2004 英国多家银行被“特洛伊木马”病毒攻击,约 10亿英镑被盗
2002.7 首都机场因计算机故障导致6000多人滞留,150 多架飞机延误
2016.10 美国Dyn DNS遭到DDoS攻击,造成大量网站一 度瘫痪,Twitter24小时0访问
应用安全整改要点
21
数据库安全及备份恢复整改要点
22
二级和三级等保具体要求对比
23
THANK YOU
By:cqvip - 张泽军
24
20
系统运维管理
18
—
85
—
—
4
8
7
11
9
20
11
16
28
45
41
62
175
290
90
115
14
安全策略体系
15
等级划分准则(GB 17859—1999)
16
等保要求(技术&管理)
物理安全;网络安全;主机安全; 应用安全;数据库安全及备份恢复
17
物理安全整改要点
18
网络安全整改要点
19
主机安全整改要点
等 级 保 张泽军 护
1
目录 CONTENTS
一、等级保护背景 二、等级保护要点 三、等级保护(技术&管理)
2
等级保护背景
信息安全作用和战略意义 信息安全保护发展历史 我国重要的信息安全保护标准
3
信息安全作用和战略意义
威胁事件
2012.7 雅虎服务器被黑 45万用户信息泄露 2013.10 慧达驿站软件漏洞导致连锁酒店数据库被拖库
2000万条开房记录泄露 2018.3 facebook数据外泄,被欧美等国问责调查,市
值蒸发360亿美元
2004 英国多家银行被“特洛伊木马”病毒攻击,约 10亿英镑被盗
2002.7 首都机场因计算机故障导致6000多人滞留,150 多架飞机延误
2016.10 美国Dyn DNS遭到DDoS攻击,造成大量网站一 度瘫痪,Twitter24小时0访问
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
全国公安教育训练网络学院网络安全分院
二、信息系统安全等级划分
❖ (四)第四级为强制保护级
▪ 其主要对象为涉及国家安全、社会秩序和公 共利益的重要信息系统,其业务信息安全性 或业务服务保证性受到破坏后,会对国家安 全、社会秩序和公共利益造成严重损害。
▪ 本级系统依照国家管理规范和技术标准进行 自主保护,信息安全监管职能部门对其进行 强制监督、检查。
1999年,强制性国家标准-《计算机信息系统安全保护等 级划分准则》GB 17859)。
全国公安教育训练网络学院网络安全分院
2003年,中办、国办转发的《国家信息化领导小组关 于加强信息安全保障工作的意见》(中办发[2003]27号) 明确指出“实行信息安全等级保护”。 “要重点保护基础 信息网络和关系国家安全、经济命脉、社会稳定等方面的 重要信息系统,抓紧建立信息安全等级保护制度,制定信 息安全等级保护的管理办法和技术指南” 。
全国公安教育训练网络学院网络安全分院
背景
1994年,《中华人民共和国计算机信息系统安全保护条例 》规定,“计算机信息系统实行安全等级保护,安全等级 的划分标准和安全等级保护的具体办法,由公安部会同有 关部门制定” 。
1995年2月18日人大12次会议通过并实施的《中华人民共 和国警察法》第二章第六条第十二款规定,公安机关人民 警察依法履行“监督管理计算机信息系统的安全保护工作 ”。——法律依据。
全国公安教育训练网络学院网络安全分院
二、信息系统安全等级划分
❖ (五)第五级为专控保护级
▪ 其主要对象为涉及国家安全、社会秩序和公 共利益的重要信息系统的核心子系统,其业 务信息安全性或业务服务保证性受到破坏后 ,会对国家安全、社会秩序和公共利益造成 特别严重损害。
▪ 本级系统依照国家管理规范和技术标准进行 自主保护,国家指定专门部门、专门机构进 行专门监督、检查。
▪ 本级系统依照国家管理规范和技术标准进行自主保护。
全国公安教育训练网络学院网络安全分院
二、信息系统安全等级划分
❖ (二)第二级为指导保护级
▪ 其主要对象为一般的信息系统,其业务信息安全性 或业务服务保证性受到破坏后,会对社会秩序和公 共利益造成一定损害,但不损害国家安全。
▪ 本级系统依照国家管理规范和技术标准进行自主保 护,必要时信息安全监管职能部门对其进行指导。
全国公安教育训练网络学院网络安全分院
二、信息系统安全等级划分
❖ 根据《信息系统安全等级保护实施指南》的规定, 信息系统可以分为五个安全等级,国家对不同级别 的信息和信息系统实行不同强度的监管政策。
❖ (一)第一级为自主保护级
▪ 其主要对象为一般的信息系统,其业务信息安全性或业 务服务保证性受到破坏后,会对公民、法人和其他组织 的合法权益产生损害,但不危害国家安全、社会秩序和 公共利益。
监督检查
特别严重损害 强制监督检查
严重损害
特别严重损害 专门监督检查
全国公安教育训练网络学院网络安全分院
三、信息系统安全等级保护相关标准
❖ 我国正式颁布的信息系统安全等级保护的强制性国 家标准是GB 17859 — 1999《计算机信息系统安 全保护等级划分准则》,该准则于1999年9月13日 经国家质量技术监督局发布,2001年1月1日起实 施。随后围绕GB 17859 — 1999编写和制定了一 系列与信息系统安全等级保护有关的标准和指南, 旨在规范和指导信息系统安全等级保护实施过程中 的活动。
2004年,公安部、国家保密局、国家密码管理局、国 信办联合印发了《关于信息安全等级保护工作的实施意见 》(66号文件)
2006年1月,公安部、国家保密局、国家密码管理局、 国信办联合制定了《信息安全等级保护管理办法》(公通 字[2006]7号)
全国公安教育训练网络学院网络安全分院
等级保护制度的基本思想
全国公安教育训练网络学院网络安全分院
信息安全等级保护的工作进展
一是2006年1月制定出台了《信息安全等级保护 管理办法(试行)》。 二是2006年5月18日组织召开了国家信息安全等 级保护工作协调小组第一次会议。 三是制定了等级保护系列技术标准。 四是开展了等级保护基础调查工作。 五是部署开展信息安全等级保护试点工作。 六是出台新的《信息安全等级保护管理办法》。 七是筹备召开全国信息系统定级工作。
全国公安教育训练网络学院网络安全分院
二、信息系统安全等级划分
❖ (三)第三级为监督保护级
▪ 其主要对象为涉及国家安全、社会秩序和公 共利益的重要信息系统,其业务信息安全性 或业务服务保证性受到破坏后,会对国家安 全、社会秩序和公共利益造成较大损害。
▪ 本级系统依照国家管理规范和技术标准进行 自主保护,信息安全监管职能部门对其进行 监督、检查。
3信息安全等级保护ppt
全国公安教育训练网络学院网络安全分院
全国公安教育训练网络学院网络安全分院
全国公安教育训练网络学院网络安全分院
一、信息安全等级保护管理
信息安全等级保护是国家信息安全 保障的基本制度、基本策略、基本方法 。开展信息安全等级保护工作是保护信 息化发展、维护国家信息安全的根本保 障,是信息安全保障工作中国家意志的 体现。
1、 政府层面:国家制定统一信息安全等级保护管理规 范和技术标准,组织公民、法人和其他组织对信息系 统分等级实行安全保护,对信息安全产品的使用分等 级实行管理,对等级保护工作的实施进行监督、指导 。 2、用户层面 :公民、法人和其他组织应当按照国家有 关等级保护的管理规范和技术标准开展等级保护工作 ,服从国家对信息安全等级保护工作的监督、指导, 保障信息系统安全。 3、社会层面 :信息安全产品的研制、生产单位,信息 系统的集成、等级测评、风险评估等安全服务机构, 依据国家有关管理规定和技术标准,开展相应工作, 并接受国家信息安全职能部门的监督管理。
全国公安教育训练网络学院网络安全分院
二、安全保护等级的划分
等级 对象
侵害客体
第一级 一般系
第二级 统
合法权益 合法权益 社会秩序和公共利益
第三级 重要系
统 第四级
社会秩序和公共利益 国家安全
社会秩序和公共利益 国家安全
第五级
极端重 要系统
国家安全
损害 指导
损害
严重损害 损害
二、信息系统安全等级划分
❖ (四)第四级为强制保护级
▪ 其主要对象为涉及国家安全、社会秩序和公 共利益的重要信息系统,其业务信息安全性 或业务服务保证性受到破坏后,会对国家安 全、社会秩序和公共利益造成严重损害。
▪ 本级系统依照国家管理规范和技术标准进行 自主保护,信息安全监管职能部门对其进行 强制监督、检查。
1999年,强制性国家标准-《计算机信息系统安全保护等 级划分准则》GB 17859)。
全国公安教育训练网络学院网络安全分院
2003年,中办、国办转发的《国家信息化领导小组关 于加强信息安全保障工作的意见》(中办发[2003]27号) 明确指出“实行信息安全等级保护”。 “要重点保护基础 信息网络和关系国家安全、经济命脉、社会稳定等方面的 重要信息系统,抓紧建立信息安全等级保护制度,制定信 息安全等级保护的管理办法和技术指南” 。
全国公安教育训练网络学院网络安全分院
背景
1994年,《中华人民共和国计算机信息系统安全保护条例 》规定,“计算机信息系统实行安全等级保护,安全等级 的划分标准和安全等级保护的具体办法,由公安部会同有 关部门制定” 。
1995年2月18日人大12次会议通过并实施的《中华人民共 和国警察法》第二章第六条第十二款规定,公安机关人民 警察依法履行“监督管理计算机信息系统的安全保护工作 ”。——法律依据。
全国公安教育训练网络学院网络安全分院
二、信息系统安全等级划分
❖ (五)第五级为专控保护级
▪ 其主要对象为涉及国家安全、社会秩序和公 共利益的重要信息系统的核心子系统,其业 务信息安全性或业务服务保证性受到破坏后 ,会对国家安全、社会秩序和公共利益造成 特别严重损害。
▪ 本级系统依照国家管理规范和技术标准进行 自主保护,国家指定专门部门、专门机构进 行专门监督、检查。
▪ 本级系统依照国家管理规范和技术标准进行自主保护。
全国公安教育训练网络学院网络安全分院
二、信息系统安全等级划分
❖ (二)第二级为指导保护级
▪ 其主要对象为一般的信息系统,其业务信息安全性 或业务服务保证性受到破坏后,会对社会秩序和公 共利益造成一定损害,但不损害国家安全。
▪ 本级系统依照国家管理规范和技术标准进行自主保 护,必要时信息安全监管职能部门对其进行指导。
全国公安教育训练网络学院网络安全分院
二、信息系统安全等级划分
❖ 根据《信息系统安全等级保护实施指南》的规定, 信息系统可以分为五个安全等级,国家对不同级别 的信息和信息系统实行不同强度的监管政策。
❖ (一)第一级为自主保护级
▪ 其主要对象为一般的信息系统,其业务信息安全性或业 务服务保证性受到破坏后,会对公民、法人和其他组织 的合法权益产生损害,但不危害国家安全、社会秩序和 公共利益。
监督检查
特别严重损害 强制监督检查
严重损害
特别严重损害 专门监督检查
全国公安教育训练网络学院网络安全分院
三、信息系统安全等级保护相关标准
❖ 我国正式颁布的信息系统安全等级保护的强制性国 家标准是GB 17859 — 1999《计算机信息系统安 全保护等级划分准则》,该准则于1999年9月13日 经国家质量技术监督局发布,2001年1月1日起实 施。随后围绕GB 17859 — 1999编写和制定了一 系列与信息系统安全等级保护有关的标准和指南, 旨在规范和指导信息系统安全等级保护实施过程中 的活动。
2004年,公安部、国家保密局、国家密码管理局、国 信办联合印发了《关于信息安全等级保护工作的实施意见 》(66号文件)
2006年1月,公安部、国家保密局、国家密码管理局、 国信办联合制定了《信息安全等级保护管理办法》(公通 字[2006]7号)
全国公安教育训练网络学院网络安全分院
等级保护制度的基本思想
全国公安教育训练网络学院网络安全分院
信息安全等级保护的工作进展
一是2006年1月制定出台了《信息安全等级保护 管理办法(试行)》。 二是2006年5月18日组织召开了国家信息安全等 级保护工作协调小组第一次会议。 三是制定了等级保护系列技术标准。 四是开展了等级保护基础调查工作。 五是部署开展信息安全等级保护试点工作。 六是出台新的《信息安全等级保护管理办法》。 七是筹备召开全国信息系统定级工作。
全国公安教育训练网络学院网络安全分院
二、信息系统安全等级划分
❖ (三)第三级为监督保护级
▪ 其主要对象为涉及国家安全、社会秩序和公 共利益的重要信息系统,其业务信息安全性 或业务服务保证性受到破坏后,会对国家安 全、社会秩序和公共利益造成较大损害。
▪ 本级系统依照国家管理规范和技术标准进行 自主保护,信息安全监管职能部门对其进行 监督、检查。
3信息安全等级保护ppt
全国公安教育训练网络学院网络安全分院
全国公安教育训练网络学院网络安全分院
全国公安教育训练网络学院网络安全分院
一、信息安全等级保护管理
信息安全等级保护是国家信息安全 保障的基本制度、基本策略、基本方法 。开展信息安全等级保护工作是保护信 息化发展、维护国家信息安全的根本保 障,是信息安全保障工作中国家意志的 体现。
1、 政府层面:国家制定统一信息安全等级保护管理规 范和技术标准,组织公民、法人和其他组织对信息系 统分等级实行安全保护,对信息安全产品的使用分等 级实行管理,对等级保护工作的实施进行监督、指导 。 2、用户层面 :公民、法人和其他组织应当按照国家有 关等级保护的管理规范和技术标准开展等级保护工作 ,服从国家对信息安全等级保护工作的监督、指导, 保障信息系统安全。 3、社会层面 :信息安全产品的研制、生产单位,信息 系统的集成、等级测评、风险评估等安全服务机构, 依据国家有关管理规定和技术标准,开展相应工作, 并接受国家信息安全职能部门的监督管理。
全国公安教育训练网络学院网络安全分院
二、安全保护等级的划分
等级 对象
侵害客体
第一级 一般系
第二级 统
合法权益 合法权益 社会秩序和公共利益
第三级 重要系
统 第四级
社会秩序和公共利益 国家安全
社会秩序和公共利益 国家安全
第五级
极端重 要系统
国家安全
损害 指导
损害
严重损害 损害