等级保护基本要求培训ppt课件
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
《管理办法》”等级保护的实施与管理“第十四条
• 信息系统运营、使用单位及其主管部门应 当定期对信息系统安全状况、安全保护制 度及措施的落实情况进行自查。第三级信 息系统应当每年至少进行一次自查,第四 级信息系统应当每半年至少进行一次自查, 第五级信息系统应当依据特殊安全需求进 行自查。
《管理办法》”等级保护的实施与管理“第十四条
等级保护基本要求培训
广东计安信息网络培训中心
目录
等级保护等级
等级保护重要标准
• GB 17859-1999 计算机信息系统 安全保护等级划分准 则 • GB/T 22239—2008 信息系统安全等级保护基本要求 • GB/T 22240—2008 信息系统安全等级保护定级指南 • 信息系统安全等级保护测评过程指南(国标报批稿) • 信息系统安全等级保护测评要求(国标报批稿) • GB/T 25058-2010信息系统安全等级保护实施指南 • GB/T 25070-2010信息系统等级保护安全设计技术要 求
• 经测评或者自查,信息系统安全状况未达 到安全保护等级要求的,运营、使用单位 应当制定方案进行整改。
技术标准和管理规范的作用
信息系统定级
信息系统安全建设或改建
技术标准和管理规范
安全状况达到等级保护要求的信息系统
《基本要求》的定位
• 是系统安全保护、等级测评的一个基本“标尺”, 同样级别的系统使用统一的“标尺”来衡量,保 证权威性,是一个达标线; • 每个级别的信息系统按照基本要求进行保护后, 信息系统具有相应等级的基本安全保护能力,达 到一种基本的安全状态; • 是每个级别信息系统进行安全保护工作的一个基 本出发点,更加贴切的保护可以通过需求分析对 基本要求进行补充,参考其他有关等级保护或安 全方面的标准来实现;
定级流程
S
A
G=MAX(S,A)
安全保护和系统定级的关系
安全等级 信息系统保护要求的组合
第一级
S1A1G1
第二级
S1A2G2,S2A2G2,S2A1G2
第三级
S1A3G3,S2A3G3,S3A3G3,S3A2G3,S3A1G3
第四级
S1A4G4,S2A4G4,S3A4G4,S4A4G4,S4A3G4,S4A2G4,S4A1G4
《管理办法》”等级保护的实施与管理“第十三条
• 运营、使用单位应当参照《信息安全技术 信息系统安全管理要求》(GB/T202692006)、《信息安全技术信息系统安全工 程管理要求》(GB/T20282-2006)、《信 息系统安全等级保护基本要求》等管理规 范,制定并落实符合本系统安全保护等级 要求的安全管理制度。
等级保护相关标准
• • • • • • • • • • • • • • • • • • • • • • • • • GA/T 708-2007 信息系统安全等级保护体系框架 GA/T 709-2007 信息系统安全等级保护基本模型 GA/T 710-2007 信息系统安全等级保护基本配置 GA/T 711-2007 应用软件系统安全等级保护通用技术指南 GA/T 712-2007 应用软件系统安全等级保护通用测试指南 GA/T 713-2007 信息系统安全管理测评 GB/T 18018—2007 路由器安全技术要求 GB/T 20269—2006 信息系统安全管理要求 GB/T 20270—2006 网络基础安全技术要求 GB/T 20271—2006 信息系统安全通用技术要求 GB/T 20272—2006 操作系统安全技术要求 GB/T 20273—2006 数据库管理系统安全技术要求 GB/T 20275—2006 入侵检测系统技术要求和测试评价方法 GB/T 20278—2006 网络脆弱性扫描产品技术要求 GB/T 20279—2006 网络和终端设备隔离部件安全技术要求 GB/T 20281—2006 防火墙技术要求和测试评价方法 GB/T 20282—2006 信息系统安全工程管理要求 GB/T 20979—2007 虹膜识别系统技术要求 GB/T 20984—2007 信息安全风险评估规范 GB/T 20988—2007 信息系统灾难恢复规范 GB/T 21028—2007 服务器安全技术要求 GB/T 21052—2007 信息系统物理安全技术要求 GB/T 21053—2007 公钥基础设施 PKI系统安全等级保护技术要求 GB/Z 20985—2007 信息安全事件管理指南 YD/T GB/Z 20986—2007 信息安全事件分类分级指南
目录
等级保护基本要求作用
《管理办法》”等级划分和保护“第八条
•
信息系统运营、使用单位依据本办法和相 关技术标准对信息系统进行保护,国家有 关信息安全职能部门对其信息安全等级保 护工作进行监督管理。
《管理办法》”等级保护的实施与管理“第十二条
•
在信息系统建设过程中,运营、使用单位 应当按照《计算机信息系统安全保护等级 划分准则》(GB17859-1999)、《信息 系统安全等级保护基本要求》等技术标准, 参照……等技术标准同步建设符合该等级 要求的信息安全设施。
基本要求和其他标准关系
等级保护基本要求效果
物理安全 10 8 6 应用安全 4 2 0 网络安全
主机安全
数据安全
《基本要求》的定位
基本要求 保护 某级信息系统 测评 基本要求 基本保护
特殊需求 补充措施
精确保护 基本保护
补充的安全措施 GB17859-1999 通用技术要求 安全管理要求 高级别的基本要求 等级保护其他标准 安全方面相关标准 等等
目录
《基本要求》基本思路
wenku.baidu.com
不同级别的安全保护能力要求
• 第一级安全保护能力
《管理办法》”等级保护的实施与管理“第十四条
•
信息系统建设完成后,运营、使用单位或 者其主管部门应当选择符合本办法规定条 件的测评单位,依据《信息系统安全等级 保护测评要求》等技术标准,定期对信息 系统安全等级状况开展等级测评。第三级 信息系统应当每年至少进行一次等级测评, 第四级信息系统应当每半年至少进行一次 等级测评,第五级信息系统应当依据特殊 安全需求进行等级测评。