信息系统安全等级保护定级--备案--测评流程图
等保测评流程全面介绍
等保测评流程全面介绍等保测评流程包括系统定级→系统备案→整改实施→系统测评→运维检查这5大阶段。
一、等级保护测评的依据:依据《信息系统安全等级保护基本要求》“等级保护的实施与管理”中的第十四条:信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评单位,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。
第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。
运营单位确定要开展信息系统等级保护工作后,应按照以下步骤逐步推进工作:1、确定信息系统的个数、每个信息系统的等保级别。
2、对每个目标系统,按照《信息系统定级指南》的要求和标准,分别进行等级保护的定级工作,填写《系统定级报告》、《系统基础信息调研表》(每个系统一套)。
运营单位也可委托具备资质的等保测评机构协助填写上述表格。
3、向属地公安机关部门提交《系统定级报告》和《系统基础信息调研表》,获取《信息系统等级保护定级备案证明》(每个系统一份),完成系统定级备案阶段工作。
4、依据确定的等级标准,选取等保测评机构,对目标系统开展等级保护测评工作(具体测评流程见第三条)5、完成等级测评工作,获得《信息系统等级保护测评报告》(每个系统一份)后,将《报告》提交相关部门进行备案。
6、结合《测评报告》整体情况,针对报告提出的待整改项,制定本单位下一年度的“等级保护工作计划”,并依照计划推进下一阶段的信息安全工作。
三、等级测评的流程:差距测评阶段又分为以下内容:测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动,整改阶段、验收测评阶段。
签订《合同》与《保密协议》首先,被测评单位在选定测评机构后,双方需要先签订《测评服务合同》,合同中对项目范围(哪些系统?)、项目内容(差距测评?验收测评?协助整改?)、项目周期(什么时间进场?项目计划做多长时间?)、项目实施方案(测评工作的步骤)、项目人员(项目实施团队人员)、项目验收标准、付款方式、违约条款等等内容逐一进行约定。
信息安全等级保护操作的指南和操作流程图
信息安全等级保护操作流程1信息系统定级1.1定级工作实施范围“关于开展全国重要信息系统安全等级保护定级工作的通知”对于重要信息系统的范围规定如下:(一)电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。
(二)铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。
(三)市(地)级以上党政机关的重要网站和办公信息系统。
(四)涉及国家秘密的信息系统(以下简称“涉密信息系统”)。
注:跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。
涉密信息系统的等级确定按照国家保密局的有关规定和标准执行。
1.2定级依据标准《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发【2003】27 号文件)《关于信息安全等级保护工作的实施意见》(公通字【2004】66号文件)《电子政务信息系统安全等级保护实施指南(试行)》(国信办【2005】25 号文件)《信息安全等级保护管理办法》(公通字【2007】43 号文件)《计算机信息系统安全保护等级划分准则》《电子政务信息安全等级保护实施指南》《信息系统安全等级保护定级指南》《信息系统安全等级保护基本要求》《信息系统安全等级保护实施指南》《信息系统安全等级保护测评指南》1.3定级工作流程信息系统调查确定定级对象定级要素分析编写定级报告协助定级备案• 网络拓扑调查• 资产信息调查• 服务信息调查• 系统边界调查• ……• 管理机构分析• 业务类型分析• 物理位置分析• 运行环境分析• ……• 业务信息分析• 系统服务分析• 综合分析• 确定等级• ……• 编写定级报告• ……• 协助评审审批• 形成最终报告• 协助定级备案图 1-1信息系统定级工作流程1.3.1信息系统调查信息系统调查是通过一系列的信息系统情况调查表对信息系统基本情况进行摸底调查,全面掌握信息系统的数量、分布、业务类型、应用、服务范围、系统结构、管理组织和管理方式等基本情况。
网络信息系统安全等级保护备案要求和流程
网络信息系统安全等级保护备案要求和流程下载温馨提示:该文档是我店铺精心编制而成,希望大家下载以后,能够帮助大家解决实际的问题。
文档下载后可定制随意修改,请根据实际需要进行相应的调整和使用,谢谢!并且,本店铺为大家提供各种各样类型的实用资料,如教育随笔、日记赏析、句子摘抄、古诗大全、经典美文、话题作文、工作总结、词语解析、文案摘录、其他资料等等,如想了解不同资料格式和写法,敬请关注!Download tips: This document is carefully compiled by theeditor.I hope that after you download them,they can help yousolve practical problems. The document can be customized andmodified after downloading,please adjust and use it according toactual needs, thank you!In addition, our shop provides you with various types ofpractical materials,such as educational essays, diaryappreciation,sentence excerpts,ancient poems,classic articles,topic composition,work summary,word parsing,copy excerpts,other materials and so on,want to know different data formats andwriting methods,please pay attention!网络信息系统安全等级保护备案要求与流程详解随着信息化时代的快速发展,网络安全已成为社会关注的焦点。
等级保护测评流程
等级保护测评的流程
一、等保测评的具体流程
1、资产梳理
1)物理机房
2)网络设备(交换机)
3)安全设备(防火墙、入侵防御、日志审计、上网行为管理、堡垒机等)
4)服务器与存储设备
5)业务应用系统或平台
6)安全相关人员
2、专家定级
1)邀请专家,确定系统要定等级
2)编制定级报告
需要资料:专家评审意见、聘书
3、备案申请
根据各地市备案条件的要求,整理相关文档,提交给各地市网安支队进行备案,省级单位定级,材料提交到省级网安总队
4、差距分析
根据要定的等级要求,检查目前系统情况与定级要求之间的差距
1)系统漏洞扫描
2)服务器:Windows、Linux
3)网络设备:交换机
4)安全设备:防火墙、入侵检测、日志审计、堡垒机等
5)业务应用系统
6)数据库
7)中间件
5、整改加固
根据差距分析检查结果,让业主联系各个系统的服务商,对各自不符合定级要求的项进行整改加固
6、辅助测评
找第三方测评机构,对系统进行测评,并给出整改要求
需要提前准备测评申请书
7、整改回复
根据测评结果给出的整改要求进行整改,并将整改结果回复给测评机构,测评机构根据整改的情况,给出最终的测评报告
8、备案审核
把测评机构的测评报告(还有前期材料+测评报告打印胶装成册,并
刻录光盘)提交给网安
审核通过,由网安签发备案证明
最终提交给业主资料:测评报告、备案证明
9、监督检查
二、流程图。
信息安全技术信息系统安全等级保护定级指南
信息安全技术信息系统安全等级保护定级指南信息安全技术信息系统安全等级保护定级指南(报批稿)全国信息安全标准化技术委员会前言本标准由公安部和全国信息安全标准化技术委员会提出。
本标准由全国信息安全标准化技术委员会归口。
本标准起草单位:本标准主要起草人:引言依据《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号),制定本标准。
本标准是信息安全等级保护相关系列标准之一。
与本标准相关的系列标准包括:——GB/T BBBBB-BBBB信息系统安全等级保护基本要求;——GB/T CCCCC-CCCC信息系统安全品级保护实施指南;——GB/T DDDDD-DDDD信息系统安全等级保护测评准则。
本标准依据等级保护相关管理文件,从信息系统所承载的业务在国家安全、经济建设、社会生活中的重要作用和业务对信息系统的依赖程度这两方面,提出确定信息系统安全保护等级的方法。
信息系统安全品级保护定级指南1范围本标准规定了信息系统安全等级保护的定级方法,适用于为信息系统安全等级保护的定级工作提供指导。
2规范性引用文件下列文件中的条款通过在本标准的引用而成为本标准的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。
凡是不注明日期的引用文件,其最新版本适用于本标准。
GB/T 5271.8信息技术词汇第8部分:安全GB-1999计算机信息系统安全保护品级划分准则3术语和定义GB/T 5271.8和GB-1999确立的以及下列术语和定义适用于本标准。
3.1等级保护对象target of classified security信息安全等级保护工作直接作用的具体的信息和信息系统。
信息系统安全等级保护定级备案测评流程图
信息系统安全等级保护法规与依据在信息系统安全等级保护定级备案、信息系统安全等级保护测评等方面测评依据如下:1、《中华人民国计算机信息系统安全保护条例》(国务院147号令)2、《信息安全等级保护管理办法》(公通字[2007]43号)3、GB/T 17859-1999《计算机信息系统安全保护等级划分准则》4、GB/T 20274《信息安全技术信息系统安全保障评估框架》5、GB/T 22081-2008《信息技术安全技术信息安全管理实用规则》6、GB/T 20271-2006《信息系统通用安全技术要求》7、GB/T 18336-2008《信息技术安全技术信息技术安全性评估准则》8、GB 17859-1999《计算机信息系统安全保护等级划分准则》9、GB/T 22239-2008《信息安全技术信息系统安全等级保护基本要求》10、GB/T 22240-2008《信息安全技术信息系统安全等级保护定级指南》11、《信息安全技术信息系统安全等级保护测评要求》12、《信息安全技术信息系统安全等级保护实施指南》13、《信息安全等级保护管理办法》信息系统安全等级保护定级备案流程1、定级原理信息系统安全保护等级根据等级保护相关管理文件,信息系统的安全保护等级分为以下五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
信息系统安全保护等级的定级要素信息系统的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。
信息系统安全等级保护定级--备案--测评流程概要
信息系统安全等级保护法规及依据在信息系统安全等级保护定级备案、信息系统安全等级保护测评等方面测评依据如下:1、《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)2、《信息安全等级保护管理办法》(公通字[2007]43号)3、GB/T 17859-1999《计算机信息系统安全保护等级划分准则》4、GB/T 20274《信息安全技术信息系统安全保障评估框架》5、GB/T 22081-2008《信息技术安全技术信息安全管理实用规则》6、GB/T 20271-2006《信息系统通用安全技术要求》7、GB/T 18336-2008《信息技术安全技术信息技术安全性评估准则》8、GB 17859-1999《计算机信息系统安全保护等级划分准则》9、GB/T 22239-2008《信息安全技术信息系统安全等级保护基本要求》10、GB/T 22240-2008《信息安全技术信息系统安全等级保护定级指南》11、《信息安全技术信息系统安全等级保护测评要求》12、《信息安全技术信息系统安全等级保护实施指南》13、《信息安全等级保护管理办法》信息系统安全等级保护定级备案流程1、定级原理信息系统安全保护等级根据等级保护相关管理文件,信息系统的安全保护等级分为以下五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
信息系统安全保护等级的定级要素信息系统的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。
信息系统定级、备案、专家评审流程【最新版】
信息系统定级、备案、专家评审流程一、系统定级请参考GAT 1389-2017信息安全技术网络安全等级保护定级指南(见第二步相关材料文件夹)定级,定级对象的运营使用单位应组织专家召开专家定级评审会(专家组由最低由三名信息安全专家和业务专家组成,其中一名应为等级保护高级测评师),出具初步定级建议并上报行业主管部门或上级主管部门审核后到公安机关备案(备案审查不通过运营使用单位重新组织定级工作)。
1、等保2.0定级备案流程:确定定级对象、初步确定等级、专家评审、主管部门审核、公安机关备案审查、最终确定等级。
2、信息系统定级备案工作甲方可以自己独立完成,也可以聘请等保测评机构、有等保安全建设服务机构的安全厂商及其他有资质单位协助完成定级备案工作。
3、定级参考《GAT 1389-2017信息安全技术网络安全等级保护定级指南》第四章定级原理及流程。
(附件1)4、等级保护对象的安全保护等级分为以下五级a)第一级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益;b)第二级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全;c)第三级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生特别严重损害,或者对社会秩序和公共利益造成严重损害,或者对国家安全造成损害;d)第四级,等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害;e)第五级,等级保护对象受到破坏后,会对国家安全造成特别严重损害。
解读:县级重要的信息系统,地市级和省级的一般信息系统,这里的一般信息系统指的是不涉及敏感信息、重要信息的信息系统,这些系统都可以定为二级系统;●省级门户网站和地市级及以上重要的业务网站需要定为三级,地市级及以上内部涉及到工作秘密、敏感信息、重要信息的办公系统,管理系统需要定到三级,跨省的用于生产、调度、管理、指挥等在省、市的分支系统需要定为三级,跨省联结的网络系统要定为三级(这个一般都是全国运营的专网系统)。
等级保护备案步骤、流程、文件
等级保护备案步骤、流程、⽂件等级保护备案步骤、流程、⽂件时代新威等级保护组2012年8⽉1备案需要什么资料2备案⼯作流程CONTENTS3如何受理备案⽬录4公安机关受理备案要求5定级不准怎么办附等级保护备案对外办理流程图等级保护备案内部流程图?等级保护1备案备案需要什么资料⼀、备案需要什么资料办理信息系统安全保护等级备案⼿续时,应当提交《信息系统安全等级保护备案表》。
⼆级及其以上的信息系统运⾏使⽤单位或主管部门在备案时需要提交如下资料:①信息系统安全等级保护定级报告纸质材料,⼀式两份;②信息系统安全等级保护备案表纸质材料,⼀式两份;③上述备案的电⼦档,并制作出光盘提交。
⼀、备案需要什么资料信息系统安全等级保护备案表主要由4张表单构成。
⼀、备案需要什么资料填表说明:⼀、备案需要什么资料表⼀为单位信息,每个填表单位填写⼀张;⼀、备案需要什么资料表⼆为信息系统基本信息,⼀、备案需要什么资料表三为信息系统定级信息,表⼆、表三的每个信息系统填写⼀张;⼀、备案需要什么资料表四为第三级以上信息系统需要同时提交的内容,由每个第三级以上信息系统填写⼀张,并在完成系统建设、整改、测评等⼯作,投⼊运⾏后三⼗⽇内向受理备案公安机关提交。
具体内容请参考附录《信息系统安全等级保护备案》。
⼀、备案需要什么资料第三级以上信息系统同时提供以下材料:(⼀)系统拓扑结构及说明;(⼆)系统安全组织机构和管理制度;(三)系统安全保护设施设计实施⽅案或者改建实施⽅案;(四)系统使⽤的信息安全产品清单及其认证、销售许可证明;(五)测评后符合系统安全保护等级的技术检测评估报告;(六)信息系统安全保护等级专家评审意见;(七)主管部门审核批准信息系统安全保护等级的意见。
等级保护2备案备案⼯作流程⼆、备案⼯作流程1、确定定级对象各⾏业主管部门、运营使⽤单位要组织开展对所属信息系统的摸底调查,全⾯掌握信息系统的数量、分布、业务类型、应⽤或服务范围、系统结构等基本情况,确定定级对象。
等保2.0信息系统定级备案专家评审流程
等保2.0:信息系统定级、备案、专家评审流程一.系统定级请参考GAT 1389—2017信息安全技术网络安全等级保护定级指南(见第二步相关材料文件夹)定级,定级对象的运营使用单位应组织专家召开专家定级评审会(专家组由最低由三名信息安全专家和业务专家组成,其中一名应为等级保护高级测评师),出具初步定级建议并上报行业主管部门或上级主管部门审核后到公安机关备案(备案审查不通过运营使用单位重新组织定级工作)。
解读:1、等保2.0定级备案流程:确定定级对象、初步确定等级、专家评审、主管部门审核、公安机关备案审查、最终确定等级。
2、信息系统定级备案工作,甲方可以自己独立完成,也可以聘请等保测评机构、有等保安全建设服务机构的安全厂商及其他有资质单位协助完成定级备案工作。
3、定级参考《GAT 1389—2017信息安全技术网络安全等级保护定级指南》第四章定级原理及流程。
(附件1)4、等级保护对象的安全保护等级分为以下五级:a)第一级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益:b)第二级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全;c)第三级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生特别严重损害,或者对社会秩序和公共利益造成严重损害,或者对国家安全造成损害;d)第四级,等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害;e)第五级,等级保护对象受到破坏后,会对国家安全造成特别严重损害。
5、定级范围:包括基础信息网络、工业控制系统、云计算平台、物联网、其他信息系统、大数据等。
6、以上信息确定好,根据甲方信息系统及机房实际情况,编写《信息系统安全等级保护备案表》、《信息系统安全等级保护定级报告》。
(附件2、3)7、定级备案表和定级报告编写完成,下一步进行专家评审工作,专家组由最低由三名信息安全专家和业务专家组成,其中一名应为等级保护高级测评师,专家现场会根据甲方负责人对公司及信息系统的介绍,提出定级是否合理相关建议并形成专家评审意见表;专家评审流程:根据要求确定专家评审名单、编辑专家评审会议程(附件4)、专家签到表(附件5)、信息系统定级专家评审意见表(附件6)、被定级单位及信息系统介绍PPT(附件7)。
信息系统安全等级保护备案流程图
一次性告知申请单位补 正的全部内容
ir be 申请材料齐全、符员开展信息安全 等级保护检查
things 市级公安机关出具《信息系统安全等级保护备案 ll 证明》
ing at a time and A 服务窗口通知申请单位领取备案证明
ing at a time and All things in their being are good for somethin
methin 附件 1:行政审批流程图 r so 信息系统安全等级保护备案流程图
d fo (法定办结时限:20 个工作日,承诺办结时限:20 个工作日。
are goo 作出不予受理决定,并 ing 告知向有关单位申请
不属于本单位 职权范围
备案单位提出备案申请 服务窗口对申请当场审查作出处理
申请材料不齐全、不符 合法定形式
信息安全等级保护工作流程图
信息安全等级保护工作流程一、定级一、等级划分计算机信息系统安全保护等级根据计算机信息系统在国家安全、经济建设、社会生活中的重要程度,计算机信息系统受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定,分为五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
二、定级程序信息系统运营、使用单位应当依据《信息系统安全等级保护定级指南》(下载专区附)确定信息系统的安全保护等级。
有主管部门的,应当经主管部门审核批准。
跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。
对拟确定为第四级以上信息系统的,运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。
三、定级注意事项第一级信息系统:适用于小型私营、个体企业、中小学、乡镇所属信息系统、县级单位中一般的信息系统。
第二级信息系统:适用于县级某些单位中的重要信息系统;地市级以上国家机关、企事业单位内部一般的信息系统。
例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统,地市级以上国家机关、企事业单位网站等第三级信息系统:一般适用于地市级以上国家机关、企事业单位内部重要的信息系统;跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统;中央各部委、省门户网站和重要网站;跨省连接的网络系统等。
例如网上银行系统、证券集中交易系统、海关通关系统、民航离港控制系统等为三级信息系统。
信息系统定级、备案、专家评审流程【最新版】
信息系统定级、备案、专家评审流程一、系统定级请参考GAT 1389-2017信息安全技术网络安全等级保护定级指南(见第二步相关材料文件夹)定级,定级对象的运营使用单位应组织专家召开专家定级评审会(专家组由最低由三名信息安全专家和业务专家组成,其中一名应为等级保护高级测评师),出具初步定级建议并上报行业主管部门或上级主管部门审核后到公安机关备案(备案审查不通过运营使用单位重新组织定级工作)。
1、等保2.0定级备案流程:确定定级对象、初步确定等级、专家评审、主管部门审核、公安机关备案审查、最终确定等级。
2、信息系统定级备案工作甲方可以自己独立完成,也可以聘请等保测评机构、有等保安全建设服务机构的安全厂商及其他有资质单位协助完成定级备案工作。
3、定级参考《GAT 1389-2017信息安全技术网络安全等级保护定级指南》第四章定级原理及流程。
(附件1)4、等级保护对象的安全保护等级分为以下五级a)第一级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益;b)第二级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全;c)第三级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生特别严重损害,或者对社会秩序和公共利益造成严重损害,或者对国家安全造成损害;d)第四级,等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害;e)第五级,等级保护对象受到破坏后,会对国家安全造成特别严重损害。
解读:县级重要的信息系统,地市级和省级的一般信息系统,这里的一般信息系统指的是不涉及敏感信息、重要信息的信息系统,这些系统都可以定为二级系统;●省级门户网站和地市级及以上重要的业务网站需要定为三级,地市级及以上内部涉及到工作秘密、敏感信息、重要信息的办公系统,管理系统需要定到三级,跨省的用于生产、调度、管理、指挥等在省、市的分支系统需要定为三级,跨省联结的网络系统要定为三级(这个一般都是全国运营的专网系统)。
信息安全等级保护操作的指南和操作流程图
信息安全等级保护操作的指南和操作流程图信息安全等级保护操作流程1信息系统定级1.1定级⼯作实施范围“关于开展全国重要信息系统安全等级保护定级⼯作的通知”对于重要信息系统的范围规定如下:(⼀)电信、⼴电⾏业的公⽤通信⽹、⼴播电视传输⽹等基础信息⽹络,经营性公众互联⽹信息服务单位、互联⽹接⼊服务单位、数据中⼼等单位的重要信息系统。
(⼆)铁路、银⾏、海关、税务、民航、电⼒、证券、保险、外交、科技、发展改⾰、国防科技、公安、⼈事劳动和社会保障、财政、审计、商务、⽔利、国⼟资源、能源、交通、⽂化、教育、统计、⼯商⾏政管理、邮政等⾏业、部门的⽣产、调度、管理、办公等重要信息系统。
(三)市(地)级以上党政机关的重要⽹站和办公信息系统。
(四)涉及国家秘密的信息系统(以下简称“涉密信息系统”)。
注:跨省或者全国统⼀联⽹运⾏的信息系统可以由主管部门统⼀确定安全保护等级。
涉密信息系统的等级确定按照国家保密局的有关规定和标准执⾏。
1.2定级依据标准《国家信息化领导⼩组关于加强信息安全保障⼯作的意见》(中办发【2003】27 号⽂件)《关于信息安全等级保护⼯作的实施意见》(公通字【2004】66号⽂件)《电⼦政务信息系统安全等级保护实施指南(试⾏)》(国信办【2005】25 号⽂件)《信息安全等级保护管理办法》(公通字【2007】43 号⽂件)《计算机信息系统安全保护等级划分准则》《电⼦政务信息安全等级保护实施指南》《信息系统安全等级保护定级指南》《信息系统安全等级保护基本要求》《信息系统安全等级保护实施指南》《信息系统安全等级保护测评指南》1.3定级⼯作流程信息系统调查确定定级对象定级要素分析编写定级报告协助定级备案? ⽹络拓扑调查? 资产信息调查? 服务信息调查? 系统边界调查? ……管理机构分析? 业务类型分析? 物理位置分析? 运⾏环境分析? ……业务信息分析? 系统服务分析? 综合分析? 确定等级? ……编写定级报告? ……协助评审审批? 形成最终报告? 协助定级备案图 1-1信息系统定级⼯作流程1.3.1信息系统调查信息系统调查是通过⼀系列的信息系统情况调查表对信息系统基本情况进⾏摸底调查,全⾯掌握信息系统的数量、分布、业务类型、应⽤、服务范围、系统结构、管理组织和管理⽅式等基本情况。
等保2.0信息系统定级-备案-专家评审流程
等保2.0信息系统定级、备案、专家评审流程一.系统定级请参考GAT 1389—2017信息安全技术网络安全等级保护定级指南(见第二步相关材料文件夹)定级,定级对象的运营使用单位应组织专家召开专家定级评审会(专家组由最低由三名信息安全专家和业务专家组成,其中一名应为等级保护高级测评师),出具初步定级建议并上报行业主管部门或上级主管部门审核后到公安机关备案(备案审查不通过运营使用单位重新组织定级工作)。
1、安全专家解读:(1)等保2.0定级备案流程:确定定级对象、初步确定等级、专家评审、主管部门审核、公安机关备案审查、最终确定等级。
(2)信息系统定级备案工作甲方可以自己独立完成,也可以聘请等保测评机构、有等保安全建设服务机构的安全厂商及其他有资质单位协助完成定级备案工作。
(3)定级参考《GAT 1389—2017信息安全技术网络安全等级保护定级指南》第四章定级原理及流程。
(附件1)(4)等级保护对象的安全保护等级分为以下五级:a)第一级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益;b)第二级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全;c)第三级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生特别严重损害,或者对社会秩序和公共利益造成严重损害,或者对国家安全造成损害;d)第四级,等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害;e)第五级,等级保护对象受到破坏后,会对国家安全造成特别严重损害。
(5)定级范围:包括基础信息网络、工业控制系统、云计算平台、物联网、其他信息系统、大数据等。
(6)以上信息确定好,根据甲方信息系统及机房实际情况,编写《信息系统安全等级保护备案表》、《信息系统安全等级保护定级报告》。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息系统安全等级保护法规及依据在信息系统安全等级保护定级备案、信息系统安全等级保护测评等方面测评依据如下:1、《中华人民国计算机信息系统安全保护条例》(国务院147号令)2、《信息安全等级保护管理办法》(公通字[2007]43号)3、GB/T 17859-1999《计算机信息系统安全保护等级划分准则》4、GB/T 20274《信息安全技术信息系统安全保障评估框架》5、GB/T 22081-2008《信息技术安全技术信息安全管理实用规则》6、GB/T 20271-2006《信息系统通用安全技术要求》7、GB/T 18336-2008《信息技术安全技术信息技术安全性评估准则》8、GB 17859-1999《计算机信息系统安全保护等级划分准则》9、GB/T 22239-2008《信息安全技术信息系统安全等级保护基本要求》10、GB/T 22240-2008《信息安全技术信息系统安全等级保护定级指南》11、《信息安全技术信息系统安全等级保护测评要求》12、《信息安全技术信息系统安全等级保护实施指南》13、《信息安全等级保护管理办法》信息系统安全等级保护定级备案流程1、定级原理信息系统安全保护等级根据等级保护相关管理文件,信息系统的安全保护等级分为以下五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
信息系统安全保护等级的定级要素信息系统的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。
受侵害的客体等级保护对象受到破坏时所侵害的客体包括以下三个方面:a) 公民、法人和其他组织的合法权益;b) 社会秩序、公共利益;c) 国家安全。
对客体的侵害程度对客体的侵害程度由客观方面的不同外在表现综合决定。
由于对客体的侵害是通过对等级保护对象的破坏实现的,因此,对客体的侵害外在表现为对等级保护对象的破坏,通过危害方式、危害后果和危害程度加以描述。
等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种:a) 造成一般损害;b) 造成严重损害;c) 造成特别严重损害。
定级要素与等级的关系定级要素与信息系统安全保护等级的关系如下表所示。
2、定级流程信息系统安全包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同,因此,信息系统定级也应由业务信息安全和系统服务安全两方面确定。
从业务信息安全角度反映的信息系统安全保护等级称业务信息安全保护等级。
从系统服务安全角度反映的信息系统安全保护等级称系统服务安全保护等级。
确定信息系统安全保护等级的一般流程如下:a) 确定作为定级对象的信息系统;b) 确定业务信息安全受到破坏时所侵害的客体;c) 根据不同的受侵害客体,从多个方面综合评定业务信息安全被破坏对客体的侵害程度;d) 依据“业务信息安全保护等级矩阵表”,得到业务信息安全保护等级;e) 确定系统服务安全受到破坏时所侵害的客体;f) 根据不同的受侵害客体,从多个方面综合评定系统服务安全被破坏对客体的侵害程度;g) 依据“系统服务安全保护等级矩阵表”,得到系统服务安全保护等级;h) 将业务信息安全保护等级和系统服务安全保护等级的较高者确定为定级对象的安全保护等级。
业务信息安全保护等级矩阵表系统服务安全保护等级矩阵表3、备案流程备案《管理办法》第十五条规定,已运营(运行)的第二级以上信息系统,应当在安全保护等级确定后30日,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
新建第二级以上信息系统,应当在投入运行后30日,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部办理备案手续。
跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,应当向当地设区的市级以上公安机关备案。
省直或省级单位信息系统向省公安厅备案。
跨地区、跨省或者全省、全国统一联网运行的信息系统在各地运行、应用的分支系统,向地级以上市公安局备案。
《管理办法》第十六条规定,办理信息系统安全保护等级备案手续时,应当填写《信息系统安全等级保护备案表》,第三级以上信息系统应当同时提供以下材料:1.系统拓扑结构及说明(说明可以是对系统结构的简要说明); 2.系统安全组织机构和管理制度(安全组织机构包括机构名称、负责人、成员、职责分工等。
管理制度包括安全管理规、章程等); 3.系统安全保护设施设计实施方案或者改建实施方案(简要的安全建设、整改方案);4.系统使用的信息安全产品清单及其认证、销售许可证明(主要信息安全产品的清单,确认有认证、销售许可标记);5.测评后符合系统安全保护等级的技术检测评估报告(最近一次测评的简要的等级测评报告);6.信息系统安全保护等级专家评审意见(评审意见表,附专家); 7.主管部门审核批准信息系统安全保护等级的意见(审批表,领导审批签字、盖章)。
备案审核《管理办法》第十七条规定,信息系统备案后,公安机关应当对信息系统的备案情况进行审核,对符合等级保护要求的,应当在收到备案材料之日起的10个工作日颁发信息系统安全等级保护备案证明;发现不符合本办法及有关标准的,应当在收到备案材料之日起的10个工作日通知备案单位予以纠正;发现定级不准的,应当在收到备案材料之日起的10个工作日通知备案单位重新审核确定。
运营、使用单位或者主管部门重新确定信息系统等级后,应当按照本办法向公安机关重新备案。
信息系统等级保护测评简要流程1、等级测评过程等级测评过程分为测评准备、方案编制、现场测评、报告编制、安全整改五个阶段。
测评双方之间的沟通与洽谈将贯穿整个等级测评过程。
2、阶段性实施计划2.1、测评准备:项目启动:●确定测评机构(省信息系统工程测评中心联系人:丽、俊);●签订测评合同和测评协议;●填报信息系统基本情况调查表格;●准备测评所需资料:总体描述文件、详细描述文件、定级报告、自查报告和等级测评报告(如果曾做过的话),以及安全需求分析报告、安全总体方案、系统验收报告等信息系统设计和建设过程的文档。
2.2、方案编制(测评机构实施):1)测评对象及测评指标确定测评对象确定:●识别被测系统等级;●识别被测系统的整体结构;●识别被测系统的边界;●识别被测系统的网络区域;●识别被测系统的重点节点和业务应用;●确定测评对象。
测评指标确定:●识别被测系统业务信息和系统服务安全保护等级;●选择对应等级的ASG三类安全要求作为测评指标;●就高原则调整多个定级对象共用的某些物理安全或管理安全测评指标。
2)测评容确定●识别每个测评对象对应的测评指标;●识别每个测评对象对应的每个测评指标的测评方法。
3)工具测试方法确定●确定工具测试的测评对象;●选择测试路径;●确定测试工具的接入点。
4)测评指导书开发●从已有的测评指导书中选择与测评对象对应的手册;●针对没有现成测评指导书的测评对象,开发新的测评指导书。
5)测评方案编制●描述测评项目基本情况和工作依据;●描述被测系统的整体结构、边界和网络区域;●描述被测系统重要节点和业务应用;●描述测评指标;●描述测评对象;●描述测评容、方法和工具;●人员安排与进度计划。
2.3、现场测评:1)现场测评准备:●现场测评授权书签署;●召开现场测评启动会;●双方确认测评方案;●双方确认配合人员、环境等资源;●确认信息系统已经备份。
2)结果确认和资料归还●召开现场测评结束会;●确认测评过程中获取的证据和资料的正确性,并签字认可;●测评人员归还借阅的各种资料。
2.4、报告编制(测评机构实施):1)、单项测评结果判定分析测评项所对抗威胁的存在情况;分析单个测评项是否有多方面的要求容,依据“优势证据”法选择优势证据,并将优势证据与预期测评结果相比较;综合判定单个测评项的测评结果。
2)、单元测评结果判定汇总每个测评对象在每个测评单元的单项测评结果;判定每个测评对象的单元测评结果。
3)、整体测评分析不符合和部分符合的测评项与其他测评项(包括单元、层面间、区域间)之间的关联关系及对结果的影响情况。
4)、风险分析整体测评后的单元测评结果再次汇总;分析部分符合项或不符合项所产生的安全问题被威胁利用的可能性;分析威胁利用安全问题后造成的影响程度;按照测评单位选定的风险分析方法对被测系统面临的安全风险进行赋值;评价风险分析结果。
5)、等级测评结论形成统计再次汇总后的单元测评结果为部分符合和不符合项的项数;形成等级测评结论。
6)、测评报告编制概述测评项目情况;描述被测系统情况;描述测评围和方法;描述单元测评情况;描述整体测评情况;汇总测评结果;描述风险情况;给出等级测评结论和整改建议。
2.5、安全整改:根据测评机构提交的整改建议报告,对被测信息系统实施安全整改加固工作。