等级保护政策、流程、内容、定级介绍
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
7 等级保护测评工作流程
测评依据的主要标准 实施指南
《信息安全技术 信息系统安全等级保护实施指南》 (报批稿)
定级指南
《GBT 22240-2008 信息安全技术 信息系统安全等级 保护定级指南》
划分准则
《GB 17859-1999 计算机信息系统安全保护等级划分 准则》
7 等级保护测评工作流程
2006年,公安部开展信息安全等级保护试点工作,制定 《计算机信息安全等级划分准则》(GB17859-1999)
1 等级保护发展历程
2007年,公安部、国家保密局、国家密码管理局、国务 院信息化工作办公室(公通字[2007]43号)——《信息 安全等级保护管理办法》,(公信[2007]861号)—— 《关于开展全国重要信息系统安全等级保护定级工作的 通知》,开始在全国范围内开展信息安全等级保护工作。
4 主要工作内容
工作实施过程中涉及到的角色和职责:
系统定级 系统备案 安全建设 等级测评 监督检查
5 等级保护主要工作流程
业务流程
•不合格项整改 •整改后测评
备案
测评申请源自文库
信息系统
测评
测评准备
6 等级保护定级工作流程
定级流程
4 定级备案
报公安部门定级备案
3 评审
公安或信息化行政部门组织评审定级
办理备案手续时,应填写《信息系统安全等级保护备案 表》,《信息系统安全等级保护定级报告》、《系统定 级评审意见》(或上级主管部门定级审核意见)、相关 电子数据等。
7 等级保护测评工作流程
测评流程
等级测评的工作流程,依据《信息系统安全等级保护测 评过程指南》,具体内容参见:等保测评工作流程图
7 等级保护测评工作流程
信息安全等级保护基本介绍
河南天祺信息安全技术有限公司
信息安全系统等级保护
1 信息安全等级保护发展历程
2 等级保护的基本概念和含义
3
等级保护和测评的作用
4
等级保护主要工作内容
5
等级保护主要工作流程
6
等级保护定级工作流程
信息安全系统等级保护
7
等级保护测评工作流程
8
等级保护安全建设内容
9
等级保护监督检查内容
测评内容
物理安全 网络安全 主机系统安全 应用安全 数据安全
综合测评
信息 系统
安全管理机构 安全管理制度 人员安全管理 系统建设管理 系统运维管理
7 等级保护测评工作流程
测评依据的相关标准体系
可以从多个角度来分析—— A、从基本分类角度来看,分为:基础类标准、技术类 标准、管理类标准; B、从等级保护生命周期看,分为:系统定级用标准、 安全建设用标准、等级测评用标准、运行维护用标准、 通用标准; C、从对象角度看,分为:基础标准、系统标准、产品 标准、安全服务标准、安全事件标准等。
2 基本概念和含义
信息安全等级保护是指对国家秘密信息、法人和其他组 织及公民的专有信息以及公开信息和存储、传输、处理 这些信息的信息系统分等级实行安全保护(五级),详 细分级依据请见《GBT 22240-2008 信息安全技术 信息 系统安全等级保护定级指南》中描述;
对信息系统中使用的信息安全产品实行按等级管理;
3 等保测评作用
工作实施过程中涉及到的角色和职责: 在信息系统建设、整改时,信息系统运营使用单位通过
等级测评进行安全需求分析,确定系统的特殊安全需求 。信息系统等级保护基本安全要求与确定的特殊安全需 求共同确定了该系统的安全需求。 在系统运维过程中,定期委托测评机构开展等级测评, 对信息系统安全等级保护状况、安全保障性能进行安全 测试,对信息安全管控能力进行考察和评价,从而判定 是否具备《信息系统安全等级保护基本要求》中相应等 级安全保护能力。 等级测评报告是信息系统后期开展整改加固的重要指导 性文件,也是信息系统备案的重要附件材料。等级测评 结论是信息系统满足要求程度的证明文件。
10
测评具体工作过程
11
建设整改工作指南
1 等级保护发展历程
1994年,国务院147号令——《中华人民共和国计算机 信息系统安全保护条例》
2003年,中央办公厅、国务院(中办发[2003]27号)— —《国家信息化领导小组关于加强信息安全保障工作的 意见》
2004年,公安部、国家保密局、国家密码管理局、国务 院信息化工作办公室(公通字[2004]66号)——《关于 信息安全等级保护工作的实施意见》
对信息系统中发生的信息安全事件分等级响应、处置.
2 基本概念和含义
等级保护遵循的原则:
自主保护原则 重点保护原则 同步建设原则 动态调整原则
2 基本概念和含义
工作实施过程中涉及到的角色和职责:
国家管理部门 信息系统主管部门 信息系统运营、使用单位 信息安全服务机构 信息安全等级测评机构 信息安全产品供应商
2010年10月15日,第十七届中央委员会第五次全体会议 中提出的十二五规划中要求“健全网络与信息安全法律 法规,完善信息安全标准体系和认证认可体系,实施信 息安全等级保护、风险评估等制度”。
2012年7月17日,国务院办公厅(国发[2012]23号)—— 《国务院关于大力推进信息化发展和切实保障信息安全 的若干意见》,要求“落实信息安全等级保护制度,开 展相应等级的安全建设和管理,做好信息系统定级备案、 整改和监督检查”。
信息系统定级工作的主体是信息系统运营和使用单位, 坚持“自主定级、自主保护”原则,因此定级工作应当 由信息系统的运营和使用单位来完成。
6 等级保护定级工作流程
定级受理备案审核材料
管理办法规定第二级以上信息系统应当在安全保护等级 确定后30日内,由其运营、使用单位到所在地区的市级 以上公安机关办理系统备案手续。
2 申报
报当地公安或信息化行政部门进行审定
1 自评
客户自行选定系统相应的保护等级
注:各地公安根据实际情况的不同有不同的备案形式要求,请根据当地公安 要求递交所需文件
6 等级保护定级工作流程
定级原则
信息系统定级是整个信息系统安全等级保护工作的第 一个重要环节,是开展信息系统建设、整改、测评、备 案、监督检查等后续工作的重要基础。
测评依据的基本要求
《GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求》