等级保护和分级保护基础培训
合集下载
等级保护基本要求培训(第十二期)
等级保护的背景与发展
背景
随着信息技术的发展,信息安全问题日益突出,为应对这一挑战,我国政府制 定了一系列的信息安全法律法规和标准,等级保护制度就是其中之一。
发展
等级保护制度经历了从初步建立到逐步完善的过程,目前已经成为我国信息安 全保障的基本制度。
等级保护的基本原则
分级管理
对不同等级的信息和信 息系统实行不同的管理
安全物理环境问题
缺乏对物理访问的严格控制,可能导 致未经授权的人员进入关键区域。
安全通信网络问题与解决方案
总结词
安全通信网络问题主要涉及网络安全设备和通信保密。
安全通信网络问题
网络设备可能存在安全漏洞,通信过程中信息可能被窃取或篡改。
安全通信网络解决方案
及时更新网络设备的安全补丁,使用加密技术确保通信保密。
应用边界等。
网络边界应采取必要的安全防护 措施,如防火墙、入侵检测系统 等,以防止未经授权的访问和攻
击。
应用边界应采取身份认证和访问 控制措施,防止非法用户和恶意
软件的入侵。
安全计算环境
01
安全计算环境是保障信 息系统安全的核心,包 括操作系统、数据库、 应用程序等。
02
操作系统应采取必要的 安全配置和管理措施, 如账户管理、权限控制 等。
温湿度应控制在适宜范围内,并定期进 行环境清洁和消毒。
供电应采用专线专用,并配置防雷击和 浪涌保护器。
场地应选择具备良好电磁屏蔽和抗干扰 能力的区域,并采取物理访问控制和监 控措施。
机房应满足防水、防潮、防雷、防震等 要求,配备UPS电源和消防报警系统。
安全通信网络
01
02
03
04
安全通信网络是保障信息系统 安全运行的关键,包括内网、
信息系统安全等级保护基本要求培训课件
定期进行漏洞扫描,对发现的 网络安全漏洞及时进行修补。
网络访问控制
访问控制策略应明确允许或拒绝网络访问的规则和条件,包括用户、地址、端口、 协议等要素。
应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口 级。
应按用户和系统之间的访问控制规则,决定允许或拒绝用户对受控系统资源的访问 ,控制粒度为单个用户。
应能够对远程访问的用户行为、系统资源的异常使用和 重要系统命令的使用等进行监测。
通信保密和完整性保护
应采用密码技术保证通信过程中数据 的保密性和完整性。
应对通信过程中的整个报文或会话过 程进行加密。
在通信双方建立连接之前,应用系统 应利用密码技术进行会话初始化验证 。
06
CATALOGUE
数据安全及备份恢复基本要求
建立完善的权限管理制度,对各个系统和应用的权限进行严格控制和管 理。
制定并执行相关管理制度和操作规程
对管理制度和操作规程进行定期评审和修订,确保其 适应业务发展和安全需求的变化。
制定信息安全总体方针、安全策略、管理制度和操作 规程等文件。
加强制度和规程的宣传和培训,确保相关人员熟知并 遵守各项规定。
02
CATALOGUE
物理安全基本要求
物理环境安全01源自0203场地选择信息系统所在场所应选择 在具有防震、防风和防雨 等能力的建筑内。
物理访问控制
物理场所应有严格的访问 控制措施,如门禁系统、 监控摄像头等。
物理安全监测
应建立物理安全监测机制 ,对物理环境进行实时监 测和记录,以便及时发现 和处置安全问题。
物理访问控制
人员进出管理
建立严格的人员进出管理 制度,对进出人员进行身 份核实和登记。
信息安全等级保护技术基础培训教程
第四章信息系统保护的一般方法和过程4.2安全规划与设计安全规划设计的目的是通过安全需求分析判断信息系统的安全保护现状与等级保护基本要求之间的差距,确定安全需求,然后根据信息系统的划分情况、信息系统的定级情况、信息系统承载业务情况和安全需求等,设计合理的、满足等级保护要求的总体安全方案,并制定出安全实施计划等,以指导后续的信息系统安全建设工程实施。
国家提出的等级保护基本要求,是国家为了等级保护的实施出台的一个关于技术与管理的标准,给出不同等级的信息系统应该达到一个基线要求,但是它并不能完全体现一个机构信息系统的安全需求,与总体设计相关的技术标准还有《计算机信息系统安全等级划分准则》(GB17859-1999)《信息安全技术信息系统安全管理要求》(GBT 20269-2006);《信息安全技术网络基础安全技术要求》(GB120270-2006);《信息安全技术信息系统通用安全技术要求》(GBT 20271-2006);《信息安全技术操作系统安全技术要求》(GBT 20272-2006);《信息安全技术数据虚管理系统安全技术要求》( GBT 20273-2006)。
这些标准是目标标准,但这些标准的制定并没有考虑信息资产环境的因素,使用这些标准进行信息系统安全设计时,应该考虑信息的资产环境因素。
按照我国信息安全专家吉增瑞先生的观点,对信息系统的定级是对信息资产与资产环境(主要是威胁)的评估,而所确定的等级是信息系统的需求等级。
本书认同他对信息系统的定级,所确定酌的等级是信息系统的需求等级,但是,定级主要是对信息资产的定级,是信息资产的价值需要做这相应等级保护需求的决定,而不必考虑资产的环境。
对于资产环境的考虑,则应该在考虑信息系统的安全保护措施时来考虑。
4.2.1 安全规划设计安全规划设计是要在安全需求分析的基础上进行安全总体的设计。
在安全总体设计的基础上进行安全建设规划。
1.安全需求分析安全需求分析首先应判断信息系统的安全保护现状与国家等级保护基本要求之间的差距,这种差距作为初步的安全需求;除上述安全需求外,还要通过风险分析的方法确定系统额外的安全需求,这种需求反映在对特殊环境和威胁的安全保护要求,或对系统重要对象的较高保护要求方面。
等保与分保
等级保护 分级保护
目录
一、定义 二、 三、
定义
一、什么是等保?(信息安全等级保护) 2003年,中办、国办转发《国家信息化领导小组关于加强信息安全保障工作的意见》 (中办发〔2003〕27号),提出实行信息安全等级保护,建立国家信息安全保障体系的明确 要求。 信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中
管理的若干意见》(中保委发〔2004〕7号) ,明确提出建立健全涉密信息系统分级保护制
度。
涉及国家秘密的信息系统要按照党和国家有关保密规定进行保护。我国的国家秘密
分为秘密、机密、绝密三级,涉密信息系统也按照秘密、机密、绝密三级进行分级管理, 其防护水平不低于国家信息安全等级保护三、四、五级的要求。
中共中央保密委员会办公室和国家保密局,一个机构、两块牌子,列入中共中央全等级保护是两个既联系又有区别的概 念。 涉密信息系统分级保护是国家信息安全等级保护的重要组成部分,是等级保 护在涉密领域的具体体现,涉密信息分级是按照信息的密级进行划分的,保护水 平分别不低于等级保护三、四、五级的要求,除此之外,还必须符合分级保护的 保密技术要求。对于防范网络泄密,加强信息化条件下的保密工作,具有十分重 要的意义。
的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其
他组织的合法权益的危害程度等因素确定。 信息系统的安全保护等级分为五级: 第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损 害国家安全、社会秩序和公共利益。 第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或 者对社会秩序和公共利益造成损害,但不损害国家安全。
机构的下属机构。是由中华人民共和国国务院部委管理的国家局,负责国家机密资料的管 理。
目录
一、定义 二、 三、
定义
一、什么是等保?(信息安全等级保护) 2003年,中办、国办转发《国家信息化领导小组关于加强信息安全保障工作的意见》 (中办发〔2003〕27号),提出实行信息安全等级保护,建立国家信息安全保障体系的明确 要求。 信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中
管理的若干意见》(中保委发〔2004〕7号) ,明确提出建立健全涉密信息系统分级保护制
度。
涉及国家秘密的信息系统要按照党和国家有关保密规定进行保护。我国的国家秘密
分为秘密、机密、绝密三级,涉密信息系统也按照秘密、机密、绝密三级进行分级管理, 其防护水平不低于国家信息安全等级保护三、四、五级的要求。
中共中央保密委员会办公室和国家保密局,一个机构、两块牌子,列入中共中央全等级保护是两个既联系又有区别的概 念。 涉密信息系统分级保护是国家信息安全等级保护的重要组成部分,是等级保 护在涉密领域的具体体现,涉密信息分级是按照信息的密级进行划分的,保护水 平分别不低于等级保护三、四、五级的要求,除此之外,还必须符合分级保护的 保密技术要求。对于防范网络泄密,加强信息化条件下的保密工作,具有十分重 要的意义。
的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其
他组织的合法权益的危害程度等因素确定。 信息系统的安全保护等级分为五级: 第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损 害国家安全、社会秩序和公共利益。 第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或 者对社会秩序和公共利益造成损害,但不损害国家安全。
机构的下属机构。是由中华人民共和国国务院部委管理的国家局,负责国家机密资料的管 理。
等级保护基本要求培训(第十二期)
• GB/T 20273ቤተ መጻሕፍቲ ባይዱ2006 数据库管理系统安全技术要求
• GB/T 20275—2006 入侵检测系统技术要求和测试评价方法
• GB/T 20278—2006 网络脆弱性扫描产品技术要求
• GB/T 20279—2006 网络和终端设备隔离部件安全技术要求
• GB/T 20281—2006 防火墙技术要求和测试评价方法
等级保护基本要求培训(第十二期)
等级保护相关标准
• GA/T 708-2007 信息系统安全等级保护体系框架
• GA/T 709-2007 信息系统安全等级保护基本模型
• GA/T 710-2007 信息系统安全等级保护基本配置
• GA/T 711-2007 应用软件系统安全等级保护通用技术指南
• GA/T 712-2007 应用软件系统安全等级保护通用测试指南
等级保护基本要求培训(第十二期)
不同级别的安全保护能力要求
• 第三级安全保护能力
– 应能够在统一安全策略下防护系统免受来自外部有组织的团体 (如一个商业情报组织或犯罪组织等),拥有较为丰富资源(包 括人员能力、计算能力等)的威胁源发起的恶意攻击、较为严重 的自然灾难(灾难发生的强度较大、持续时间较长、覆盖范围较 广等)以及其他相当危害程度的威胁(内部人员的恶意威胁、无 意失误、较严重的技术故障等)所造成的主要资源损害,能够发 现安全漏洞和安全事件,在系统遭到损害后,能够较快恢复绝大 部分功能。
安全保护和系统定级的关系
安全等级
信息系统保护要求的组合
第一级 S1A1G1
第二级 S1A2G2,S2A2G2,S2A1G2
第三级 S1A3G3,S2A3G3,S3A3G3,S3A2G3,S3A1G3
等级保护流程培训V0
系统 定级
安全规 安全 安全运 划设计 实施 行管理
终止
PPT文档演模板
等级保护流程培训V0
等级保护实施过程
局部调整
PPT文档演模板
重大
等级保护流程培训V0
等级保护工作流程总图
PPT文档演模板
等级保护过程及各阶段工作
安全定级备案阶段 安全规划设计阶段 安全实施/实现阶段 安全
自主定级
安全要求导出
等级安全解决方案设计 阶段
专家评审 主管部门批准 网监定级备案
等级保护差距评估
安全技术体系等级实施改造
持续
信息系统风险评估
安全管理体系等级实施改造
系统业务安全域划分 等级测评
安全建设整体规划
安全岗位培训
应急 系统 配合
安全基线设计
安全制度演练
等级保护流程培训V0
系统定级与备案
安全定级备案阶段
PPT文档演模板
PPT文档演模板
等级保护流程培训V0
对测评机构的要求
三级以上信息系统应当选择使用符合以下条件的等级保护测
➢ 在中华人民共和国境内注册成立(港澳台除外) ➢ 由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台除 ➢ 从事相关检测评估工作两年以上,无违法记录 ➢ 工作人员仅限于中国公民 ➢ 法人及其主要业务、技术人员无犯罪纪录 ➢ 使用的技术装备、设施应当符合本办法对信息安全产品的要求 ➢ 具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安 ➢ 对国家安全、社会秩序、公共利益不构成威胁
PPT文档演模板
等级保护流程培训V0
中央文件
中办[2003]27号文件 《国家信息化领导小组关于加强信息安全保
意见》
等级保护培训资料
运营、使用单位应当参照《信息安全技术 信息系统安全管理要求》(GB/T20269-2006 )、《信息安全技术 信息系统安全工程管理要 求》(GB/T20826-2006)、《信息系统安全 等级保护基本要求》等管理觃范,制定并落实 符合本系统安全保护等级要求的安全管理制度 。
中信银行国际(中国)有限公司
• 第三级信息系统运营、使用单位
应当依据国家有关管理规范和技术标准进行保护。国家信息安全 监管部门对该级信息系统信息安全等级保护工作进行监督、检查 。 应当依据国家有关管理规范、技术标准和业务与门需求进行保护 。国家信息安全监管部门对该级信息系统信息安全等级保护工作 进行强制监督、检查。 应当依据国家管理规范、技术标准和业务特殊安全需求进行保护 。国家指定与门部门对该级信息系统信息安全等级保护工作进行 强制监督、检查。
四. 定级方法
18
根据系统服务安全被破坏时所侵害的客体以及对应客体的侵害程度,依据附表3系 统服务安全保护等级矩阵表,即可得到系统服务安全保护等级。 附表3:服务安全保护等级矩阵表
对相应客体的侵害程度 业务信息安全被破坏时所 侵害的客体 公民、法人和其他组织的 合法权益 社会秩序、公共利益 一般损害 第一级 第二级 严重损害 第二级 第三级 特别严重损害 第二级 第四级
角度可能丌同。 例如:系统服务安全被破坏导致业务能力下降 的程度可以从信息系统服务覆盖的区域范围、
用户人数戒业务量等丌同方面确定,业务信息
安全被破坏导致的财务损失可以从直接的资金 损失大小、间接地信息回复费用方面进行确定 。
中信银行国际(中国)有限公司
中信银行(国际)有限公司附属公司
四. 定级方法
中信银行国际(中国)有限公司
中信银行(国际)有限公司附属公司
等级保护2.0讲解PPT学习课件
15
22
网络和通信安全
16
33
设备和计算安全
17
26
应用和数据安全
22
34
管理 安全策略和管理
6
7
要求
制度
安全管理机构和
16
26
人员
安全建设管理
25
34
安全运维管理
30
48
合计
/
13
147
230
总体上看,等保2.0通用要求在技术部分的基础上进行了一 些调整,但控制点要求上并没有明显增加,通过合并整合 后相对旧标准略有缩减。
7
2 访问控制
7
3 安全审计
6
3 安全审计
5
设备和计算
主机安全
4 剩余信息 保护
2
安全
4 入侵防范
5
5 入侵防范
3
5 恶意代码 防范
1
6 恶意代码 防范
3
6 资源控制
4
7 资源控制
5
21
原控制项
安全审计
无
入侵防范
无
安全审计 入侵防范
新控制项
d) 应确保审计记录的留存时间符合法律法规要求; (新增) b) 应关闭不需要的系统服务、默认共享和高危端口;
等级保护2.0介绍
2020/2/27
1
什么是等级保护?
网络安全等级保护是指对国家重要信息、法人和其他组织及公民的 专有信息以及公开信息和存储、传输、处理这些信息的信息系统分 等级实行安全保护,对信息系统中使用的信息安全产品实行按等级 管理,对信息系统中发生的信息安全事件分等级响应、处置。
2020/2/27
2020/2/27
等保交流-基础知识ppt课件
6
等级保护目标客户:
(一)电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性 公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系 统。
(二)铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展 改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土 资源、能源、交通、文化、统计、工商行政管理、邮政、国防工业等关系到国计 民生的信息系统(生产、调度、管理、办公等重要信息系统)。
技术要求:
应用安全-身份鉴别、访问控制、安全审计 应用安全-通信保密性、通信完整性
方案:
SSL VPN:远程用户接入时的身份鉴别、权限控制、安全审计,并保证通信保密性和完 整性; 服务器群组防护:用户访问时进行身份鉴别,保证访问业务系统的安全性与边界隔离; 堡垒机:设备用户权限管理的安全问题;
22
安全管理中心
挖掘需求:
随着信息化建设的进行,服务器和网络设备越来越多,业务系统越来越多,用户没有 精力逐个监控,迫切的需要有一个系统能够监控整个网络的情况,尤其是监控所有业 务系统的健康状况,并且当业务系统出现问题时,能够进行即使的告警。另外,需要 实现对设备的统一的策略管理和下发。
技术要求:
应用安全-资源控制 主机安全-资源控制 监控管理和安全管理中心 网络安全管理
(三)教育、国家科研等单位的信息系统
(四)市(地)级以上党政机关的重要网站和办公信息系统
(五)中央企业以及国资委下属企业
7
• 目前国家出台了哪些有关等保的政策?
– 国家: • 国务院147号令《中华人民共和国计算机信息系统安全保护条例》(94年) • 公通字[2004]66号《关于信息安全等级保护工作的实施意见》 • 公通字[2007]43号《信息安全等级保护管理办法》
等级保护和分级保护基础培训 ppt课件
监理、数据恢复、屏蔽室建设、保密安防监控。
问:分级保护对涉密系统中使用的安全保密产品有哪些要求?
涉密信息系统使用的信息安全保密产品原则上应当选用国产品,并应当通过国家保密局授权
ppt课件
26
的检测机构依据有关国家保密标准进行的检测,通过检测的产品由国家保密局审核发布目录。
《信息系统通用安全技术要求》GB/T 20271-2006 《信息系统等级保护安全设计技术要求》 测评: 《信息系统安全等级保护测评要求》GB/T 《信息系统安全等级保护测评过程指南》 管理: 《信息系统安全管理要求》 GB/T 20269-2006
《信息系统安全工程管理要求》GB/T 20282-2006
分级保护测评时效性
ppt课件
23
分级保护评测审核内容
ppt课件
24
FAQ
问:等级保护与分级保护各分为几个等级,对应关系是什么? 答:等级保护分5个级别:一级(自主保护)、二级(指导保护)、三级(监督保护)、四级(强制保护)、五 级(专控保护)。 分级保护分3个级别:秘密级、机密级(机密增强级)、绝密级。 分级保护与等级保护对应关系:秘密级对应三级、机密级对应四级、绝密级对应五级。 问:等级保护的重要信息系统有哪些? 答:电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网 接入服务单位、数据中心等单位的重要信息系统。铁路、银行、海关、税务、民航、电力、证券、保险、外交、 科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、 文、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。市(地)级以 上党政机关的重要网站和办公信息系统。 问:等级保护的主管部门是谁? 答:公安机关是等级保护工作的主管部门,负责信息安全等级保护工作的监督、检查、指导, 问:等级保护是否是强制性的,可以不做吗? 答:国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级根据信息系统在国家安全、 经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其 他组织的合法权益的危害程度等因素确定。备案后3级系统每年进行一次监督检查,4级每半年进行一次监督检查。 问:是否只是在政府行业实行?企业是否也在等级保护和分级保护范畴之内? 答:等级保护涉及所有行业,只要有信息系统的单位都在等级保护覆盖范围(涉密系统除外)
信息系统安全等级保护培训课件(PPT 36页)
区域边界保护
保护计算环境
保护计算环境
实现集中安全管理
落实安全管理措施
三级系统安全管理措施
- 建立全面的安全管理制度,并安排专人负责并监控执行情况; - 建立全面的人员管理体系,制定严格的考核标准 - 建设过程的各项活动都要求进行制度化规范,按照制度要求进行 活动的开展 - 实现严格的保密性管理 - 成立安全运维小组,对安全维护的责任落实到具体的人 - 引入第三方专业安全服务
物理安 • 需要到物理机房实地检查,请提前申请进入机房的相关手续,并协调查看机房管理相关管理记录 全
网络安 • 需要登录网络设备、安全设备检查相关配置及漏洞扫描,请分配可接入的网络端口及地址,提供配置文件
全 主机安 • 需要登录相关主机设备检查相关配置及漏洞扫描,请分配可接入的网络端口及地址 全 应用安 • 请提供应用系统访问地址,以及访问该应用所需的网络地址,帐户名称、口令以及其它鉴别方式所需软硬件设备 全
分级保护系列标准规范
《涉及国家秘密的计算机信息系统分级保 护技术要求》BMB17-2006 《涉及国家秘密计算机信息系统安全保密 方案设计指南》 BMB23-2008 涉密信息系统安全保障建设 《涉及国家秘密计算机信息系统分级保护 指南 管理规范》BMB20-2007 《涉及国家秘密的信息系统分级保护测评 指南》BMB22—2007 《涉及国家秘密计算机信息系统分级保护 管理办法 》国家保密局16号
管理制 • 请提供安全管理制度电子档或纸质版本,以及相关记录文件
度
1、最灵繁的人也看不见自己的背脊。——非洲 2、最困难的事情就是认识自己。——希腊 3、勇猛、大胆和坚定的决心能够抵得上武器的精良。——达· 芬奇 4、与肝胆人共事,无字句处读书。——周恩来 5、一个人即使已登上顶峰,也仍要自强不息。——罗素· 贝克 6、一切节省,归根到底都归结为时间的节省。——马克思 7、自知之明是最难得的知识。——西班牙 8、勇气通往天堂,怯懦通往地狱。——塞内加 9、有时候读书是一种巧妙地避开思考的方法。——赫尔普斯 10、阅读一切好书如同和过去最杰出的人谈话。——笛卡儿 11、有勇气承担命运这才是英雄好汉。——黑塞 12、只有把抱怨环境的心情,化为上进的力量,才是成功的保证。——罗曼· 罗兰 13、知人者智,自知者明。胜人者有力,自胜者强。——老子 14、意志坚强的人能把世界放在手中像泥块一样任意揉捏。——歌德 15、最具挑战性的挑战莫过于提升自我。——迈克尔· F· 斯特利 16、业余生活要有意义,不要越轨。——华盛顿 17、意志是一个强壮的盲人,倚靠在明眼的跛子肩上。——叔本华 18、最大的挑战和突破在于用人,而用人最大的突破在于信任人。——马云 19、我这个人走得很慢,但是我从不后退。——亚伯拉罕· 林肯 20、要掌握书,莫被书掌握;要为生而读,莫为读而生。——布尔沃 21、要知道对好事的称颂过于夸大,也会招来人们的反感轻蔑和嫉妒。——培根 22、业精于勤,荒于嬉;行成于思,毁于随。——韩愈 23、最大的骄傲于最大的自卑都表示心灵的最软弱无力。——斯宾诺莎 24、知之者不如好之者,好之者不如乐之者。——孔子 25、学习是劳动,是充满思想的劳动。——乌申斯基 26、要使整个人生都过得舒适、愉快,这是不可能的,因为人类必须具备一种能应付逆境的态度。——卢梭 27、越是无能的人,越喜欢挑剔别人的错儿。——爱尔兰 28、意志命运往往背道而驰,决心到最后会全部推倒。——莎士比亚 29、越是没有本领的就越加自命不凡。——邓拓 30、阅读使人充实,会谈使人敏捷,写作使人精确。——培根
《等级保护培训》课件
意义
通过实施等级保护,可以有效地 保障国家安全、社会秩序和公共 利益,维护公民、法人和其他组 织的合法权益。
等级保护的重要性
保障国家安全
等级保护制度能够确保关键信息 基础设施的安全,防止敌对势力 、间谍机构等对国家安全造成威
胁。
维护社会秩序
通过实施等级保护,可以防止网络 犯罪、网络攻击等行为,维护社会 秩序的稳定。
提出了加强宣传教育、开展培训等措施,以提高全社会的等级保护意识和能力。
完善法律法规和标准体系,加强监督检查和评估
提出了完善相关法律法规和标准体系、加强监督检查和评估等措施,以保障等级保护工作 的有效实施。
加强技术研发和创新,提高安全防护能力
提出了加强技术研发和创新、推广新技术应用等措施,以提高安全防护能力和应对新威胁 的能力。
THANKS
谢谢
等级保护标准的实施
等级保护标准的实施需要采取一系列的安全措施和技术手段,包括 物理安全、网络安全、应用安全等方面的防护措施。
等级保护政策
等级保护政策定义
01
等级保护政策是国家为了保障信息安全而制定的一系列政策,
用于规范不同等级的信息系统安全保护工作。
等级保护政策的主要内容
02
包括信息系统定级、备案、安全监测、通报预警等方面的政策
安全体系实施
按照安全体系设计的要求,实施安全设备和安全控制措施。 对实施过程进行监督和检查,确保安全设备和控制措施的有效性和合规性。
安全体系运行与维护
对信息系统的安全体系进行日常运行 和维护,包括安全监控、日志审计、 漏洞扫描等方面的操作。
对发现的安全问题和隐患进行及时处 理和修复,确保信息系统的安全性得 到持续保障。
安全策略制定
通过实施等级保护,可以有效地 保障国家安全、社会秩序和公共 利益,维护公民、法人和其他组 织的合法权益。
等级保护的重要性
保障国家安全
等级保护制度能够确保关键信息 基础设施的安全,防止敌对势力 、间谍机构等对国家安全造成威
胁。
维护社会秩序
通过实施等级保护,可以防止网络 犯罪、网络攻击等行为,维护社会 秩序的稳定。
提出了加强宣传教育、开展培训等措施,以提高全社会的等级保护意识和能力。
完善法律法规和标准体系,加强监督检查和评估
提出了完善相关法律法规和标准体系、加强监督检查和评估等措施,以保障等级保护工作 的有效实施。
加强技术研发和创新,提高安全防护能力
提出了加强技术研发和创新、推广新技术应用等措施,以提高安全防护能力和应对新威胁 的能力。
THANKS
谢谢
等级保护标准的实施
等级保护标准的实施需要采取一系列的安全措施和技术手段,包括 物理安全、网络安全、应用安全等方面的防护措施。
等级保护政策
等级保护政策定义
01
等级保护政策是国家为了保障信息安全而制定的一系列政策,
用于规范不同等级的信息系统安全保护工作。
等级保护政策的主要内容
02
包括信息系统定级、备案、安全监测、通报预警等方面的政策
安全体系实施
按照安全体系设计的要求,实施安全设备和安全控制措施。 对实施过程进行监督和检查,确保安全设备和控制措施的有效性和合规性。
安全体系运行与维护
对信息系统的安全体系进行日常运行 和维护,包括安全监控、日志审计、 漏洞扫描等方面的操作。
对发现的安全问题和隐患进行及时处 理和修复,确保信息系统的安全性得 到持续保障。
安全策略制定
等级保护知识培训(蓝盾)
•
识别业务种类、流程和服务
– 应重点了解定级对象信息系统中不同业务系统提供的服务在影响履行单 位职能方面具体方式和程度,影响的区域范围、用户人数、业务量的具 体数据以及对本单位以外机构或个人的影响等方面。这些具体数据即可 以为主管部门制定定级指导意见提供参照,也可以作为主管部门审批定 级结果的重要依据。
43基本要求的定位某级信息系统基本保护精确保护基本要求保护基本要求测评补充的安全措施gb178591999通用技术要求安全管理要求高级别的基本要求等级保护其他标准安全方面相关标准等等基本保护特殊需求补充措施44基本要求基本思路不同级别信息系统重要程度不同应对不同威胁的能力威胁弱点具有不同的安全保护能力不同的基本要求45各个要素之间的关系安全保护能力基本安全要求每个等级的信息系统基本技术措施基本管理措施具备包含包含满足满足实现46基本要求核心思路某级系统技术要求管理要求基本要求建立安全技术体系建立安全管理体系具有某级安全保护能力的系统47各级系统的保护要求差异宏观安全保护模型ppdrrprotection防护policydetection策略检测response响应recovery恢复48各级系统的保护要求差异宏观一级系统二级系统三级系统四级系统防护防护监测策略防护监测恢复策略防护监测恢复响应49各级系统的保护要求差异宏观成功的完成业务信息保障技术操作防御网络与基础设施防御飞地边界防御计算环境安全保护模型iatf50各级系统的保护要求差异宏观一级系统二级系统三级系统四级系统通信边界基本通信边界内部关键设备通信边界内部主要设备通信边界内部基础设施所有设备51各级系统的保护要求差异宏观一级系统二级系统三级系统四级系统计划和跟踪主要制度计划和跟踪主要制度良好定义管理活动制度化持续改进管理活动制度化及时改进52等级保护基本要求构架某级系统技术要求管理要求基本要求53等级保护基本要求效果10物理安全网络安全数据安全主机安全应用安全54基本要求的主要内容由9个章节2个附录构成1
等保培训PPT课件
21
各级系统的保护要求差异
一级系统
计划和跟踪(主要制度)
二级系统
计划和跟踪(主要制度)
三级系统
良好定义(管理活动制度化)
四级系统
持续改进(管理活动制度化/及时改进)
22
构建系统模型_技术模型
应用系统
医疗
教育
科研
管理
主机系统
网络系统 物理环境
Web 服务 Mail 服务 数据库 多媒体平台 中间件 ……
32
物理安全
公通字[2007]43号文 测评周期要求 ➢ 第三级信息系统应当每年至少进行一次等级测评; ➢ 第四级信息系统应当每半年至少进行一次等级测评; ➢ 第五级信息系统应当依据特殊安全需求进行等级测评。 自查周期要求 ➢ 第三级信息系统应当每年至少进行一次自查; ➢ 第四级信息系统应当每半年至少进行一次自查; ➢ 第五级信息系统应当依据特殊安全需求进行自查。 根据测评、自查情况制定整改方案并实施。
除外); (三)从事相关检测评估工作两年以上,无违法记录; (四)工作人员仅限于中国公民; (五)法人及主要业务、技术人员无犯罪记录; (六)使用的技术装备、设施应当符合本办法对信息安全产品的要求; (七)具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全
管理制度; (八)对国家安全、社会秩序、公共利益不构成威胁。
目录
□等级保护基本知识介绍 □等级保护基本要求的具体介绍 □信息安全等级保护检查问题发现和总结
1
等级保护基本知识介绍
□等级保护的政策依据 □等级保护的关键环节(流程) □等级保护的现实意义 □等级保护的相关标准 □《基本要求》核心思想解读
2
等级保护政策依据
✓ 《国家信息化领导小组关于加强信息安全保障工作的意见 》(中办发[2003]27号 )
信息安全等级保护技术基础培训教程2024新版
CHAPTER 06
信息安全等级保护实践与应用
政府机构信息安全等级保护实践
制定安全策略
政府机构需制定全面的信息 安全策略,明确安全管理目 标、原则和要求,为实施等 级保护提供指导。
划分安全等级
根据信息系统的重要性、涉 密程度等因素,合理划分安 全等级,确保不同等级的信 息系统得到相应的保护。
加强安全管理
信息安全风险评估与应对
信息安全风险评估概述
信息安全风险评估的定义
01
信息安全风险评估是对信息系统及其处理、传输和存储的信息
的机密性、完整性和可用性等安全属性进行评价的过程。
信息安全风险评估的目的
02
识别信息系统的潜在威胁、脆弱性和风险,为制定风险应对策
略和措施提供依据。
信息安全风险评估的原则
03
客观性、全面性、可操作性、动态性和保密性。
全等级进行评定。
CHAPTER 04
信息安全管理体系建设
信息安全管理体系概述
信息安全管理体系( ISMS)的定义和作 用
ISMS与信息安全等 级保护的关系
ISMS的标准和框架 ,如ISO 27001
ቤተ መጻሕፍቲ ባይዱ
信息安全管理体系建设流程
前期准备
明确建设目标、组建实 施团队、进行现状评估
体系规划
制定安全策略、确定安 全范围、分配安全职责
信息安全技术是指通过采取各种技术手段和管理措施,保护信息系统和 数据的机密性、完整性和可用性,防止未经授权的访问、使用、泄露、 破坏或篡改。
信息安全技术的重要性
随着信息技术的广泛应用和互联网的普及,信息安全问题日益突出,信 息安全技术已成为保障国家安全、社会稳定和经济发展的重要支撑。
简述信息安全分级保护和等级保护
信息安全分级保护是指按照信息系统所含信息的重要性和敏感程度,对信息系统进行等级划分,并根据不同等级的信息系统采取相应的安全保护措施,以保证信息系统的安全性、完整性和可用性。
等级保护则是指根据信息系统的等级划分,对信息系统进行相应的安全保护措施,以确保信息系统在不同等级下的安全性。
信息安全分级保护和等级保护在信息安全管理中起到了至关重要的作用,下面我们将深入探讨这一主题。
1. 信息安全分级保护和等级保护的意义信息安全分级保护和等级保护是信息安全管理的基础和核心。
通过对信息系统进行等级划分,可以根据信息的重要性和敏感程度对信息系统进行有针对性的安全防护,合理配置资源,提高信息系统的安全性和可用性。
等级保护则是在不同等级下要求采取相应的安全保护措施,确保信息系统在不同等级下满足相应的安全性要求。
2. 信息安全分级保护和等级保护的内容信息安全分级保护包括对信息系统进行等级划分、信息系统安全等级保护要求及安全保护措施的规定等内容。
等级保护主要包括对信息系统在不同等级下的安全技术要求、安全管理要求、安全保密要求等内容。
通过对这些内容的规定,可以实现对信息系统的有序管理和安全保护。
3. 信息安全分级保护和等级保护的实施信息安全分级保护和等级保护是一个复杂的系统工程,需要全面考虑信息系统的使用环境、信息的特性和需求等因素。
在实施过程中,需要结合实际情况对信息系统进行等级划分,明确各个等级下的安全保护要求,建立相应的安全保护措施,并定期进行安全评估和测试,保障信息系统的安全性。
4. 信息安全分级保护和等级保护的挑战与展望随着信息技术的不断发展和应用,信息安全面临着新的挑战和威胁,信息系统的等级划分和安全保护需求也在不断变化。
未来,如何更好地适应信息安全的发展变化,提高信息系统的安全保护水平,成为了当前信息安全管理的重要课题。
从个人的角度来看,信息安全分级保护和等级保护是信息安全管理中的重要环节,对于保障国家安全、企业利益以及个人隐私具有重要意义。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
等级保护和分级保护基础培训
可编辑ppt
1
PART 01:
“等级保护测评”基础
可编辑ppt
2
等级保护五个级别
第五级 专控保护级
第二级 指导保护级
第四级 强制保护级
第三级 监督保护级
第一级 自主保护级
可编辑ppt
3
等级保护的主要对象
可编辑ppt
4
等级保护主要对象
可编辑ppt
5
等级保护定级的主要标准
密信息系统的系统服务和系统咨询工作,不得从事其它单项资质业务。乙级资质单位可在所限定的行政区域
内承接涉密信息系统的规划、设计和实施业务,并仅可承担本单位承接的涉密信息系统的系统服务和系统咨
询工作,不得从事其它单项资质业务。
问:分级保护的哪些具体工作对厂商有单项资质的要求?
单项业务:(全国,仅限所批准业务)军工、软件开发、综合布线、系统服务、系统咨询、风险评估、工程
信息系统定级主要考虑两个方面,一是业务信息收到破坏客体是 谁,二是对客体侵害程度如何。两个方面结合起来,根据下表制 定信息系统应该定位第几级
可编辑ppt
6
等级保护相关政策法规
2005年前 《中华人民共和国计算机信息系统安全保护条例》(1994年 国务院147号令)
《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发【2003】27号)
可编辑ppt
7
等级保护十大核心标准
基础类 《计算机信息系统安全保护等级测分准则》GB 17859-1999
《信息系统安全等级保护实施指南》GB/T
应用类
定级: 《信息系统安全保护等级定级指南》GB/T 22240-2008
建设: 《信息系全技术要求》GB/T 20271-2006
计算机信息系统集成风险评估单项资质。
问:涉密系统分级保护多长时间需进行一次安全保密检查?
答:秘密级、机密级信息系统:应每两年至少进行一次安全保密测评或保密检查;
绝密级信息系统:应每年至少进行一次安全保密测评或保密检查。
问:分级保护的系统集成对厂商的资质有什么要求?
答:甲级资质单位可在全国范围内承接涉密信息系统的规划、设计和实施业务,并仅可承担本单位承建的涉
答:电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网 接入服务单位、数据中心等单位的重要信息系统。铁路、银行、海关、税务、民航、电力、证券、保险、外交、 科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、 文、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。市(地)级以 上党政机关的重要网站和办公信息系统。 问:等级保护的主管部门是谁? 答:公安机关是等级保护工作的主管部门,负责信息安全等级保护工作的监督、检查、指导, 问:等级保护是否是强制性的,可以不做吗?
答:国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级根据信息系统在国家安全、 经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其 他组织的合法权益的危害程度等因素确定。备案后3级系统每年进行一次监督检查,4级每半年进行一次监督检查。 问:是否只是在政府行业实行?企业是否也在等级保护和分级保护范畴之内? 答:等级保护涉及所有行业,只要有信息系统的单位都在等级保护覆盖范围(涉密系统除外)
分级保护测评适用单位
可编辑ppt
16
分级保护测评机构
可编辑ppt
17
分级保护相关标准
可编辑ppt
18
分级保护测评相关流程
可编辑ppt
19
分级保护测评技术要求
可编辑ppt
20
分级保护管理要求
可编辑ppt
21
政府行业分级保护测评分工
可编辑ppt
22
分级保护测评时效性
可编辑ppt
23
分级保护评测审核内容
《关于信息安全等级保护工作的实施意见》(公通字【2004】66号)
2007
《信息安全等级保护管理办法》(公通字【2007】43号)
《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安【2007】861号)
2009 《2009年信息安全等级保护工作内容及具体要求》(公信安【2009】232)
可编辑ppt
24
FAQ
问:等级保护与分级保护各分为几个等级,对应关系是什么? 答:等级保护分5个级别:一级(自主保护)、二级(指导保护)、三级(监督保护)、四级(强制保护)、五 级(专控保护)。 分级保护分3个级别:秘密级、机密级(机密增强级)、绝密级。 分级保护与等级保护对应关系:秘密级对应三级、机密级对应四级、绝密级对应五级。 问:等级保护的重要信息系统有哪些?
《信息系统等级保护安全设计技术要求》
测评: 《信息系统安全等级保护测评要求》GB/T
《信息系统安全等级保护测评过程指南》
管理: 《信息系统安全管理要求》 GB/T 20269-2006
《信息系统安全工程管理要求》GB/T 20282-2006
可编辑ppt
8
等级保护完全的实施过程
可编辑ppt
9
等级保护基本安全要求
可编辑ppt
25
FAQ
问:分级保护的主管部门是谁?
答:国家保密工作部门(国家保密局、各省保密局、各地市市保密局)。
问:分级保护的政策依据是哪个文件?
答:《涉及国家秘密的信息系统分级保护管理办法》(国保发[2005]16号)。
问:哪些单位可以做分级保护的测评,有什么资质要求?
答:目前,国家保密工作部门及国家保密局授权的系统测评机构负责测评,测评机构应具备涉及国家秘密的
可编辑ppt
10
等级保护三级系统的控制类和控制项
可编辑ppt
11
等级保护三级系统的控制类和控制项
可编辑ppt
12
等级保护三级系统安全保护要求-数据安全和备份恢复
可编辑ppt
13
等级保护三级系统安全保护要求-数据安全和备份恢复
可编辑ppt
14
PART 02:
“分级保护测评”基础
可编辑ppt
15
2012 《计算机信息网络国际联网安全保护管理办法》(公安部第33号令) (2012-02-06)
《中华人民共和国计算机信息系统安全保护条例》 (2012-02-07)
2017年 《互联网安全保护技术措施规定》(公安部令第82号) (2017-08-30)
《中华人民共和国网络安全法 》(2017-08-30)
可编辑ppt
1
PART 01:
“等级保护测评”基础
可编辑ppt
2
等级保护五个级别
第五级 专控保护级
第二级 指导保护级
第四级 强制保护级
第三级 监督保护级
第一级 自主保护级
可编辑ppt
3
等级保护的主要对象
可编辑ppt
4
等级保护主要对象
可编辑ppt
5
等级保护定级的主要标准
密信息系统的系统服务和系统咨询工作,不得从事其它单项资质业务。乙级资质单位可在所限定的行政区域
内承接涉密信息系统的规划、设计和实施业务,并仅可承担本单位承接的涉密信息系统的系统服务和系统咨
询工作,不得从事其它单项资质业务。
问:分级保护的哪些具体工作对厂商有单项资质的要求?
单项业务:(全国,仅限所批准业务)军工、软件开发、综合布线、系统服务、系统咨询、风险评估、工程
信息系统定级主要考虑两个方面,一是业务信息收到破坏客体是 谁,二是对客体侵害程度如何。两个方面结合起来,根据下表制 定信息系统应该定位第几级
可编辑ppt
6
等级保护相关政策法规
2005年前 《中华人民共和国计算机信息系统安全保护条例》(1994年 国务院147号令)
《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发【2003】27号)
可编辑ppt
7
等级保护十大核心标准
基础类 《计算机信息系统安全保护等级测分准则》GB 17859-1999
《信息系统安全等级保护实施指南》GB/T
应用类
定级: 《信息系统安全保护等级定级指南》GB/T 22240-2008
建设: 《信息系全技术要求》GB/T 20271-2006
计算机信息系统集成风险评估单项资质。
问:涉密系统分级保护多长时间需进行一次安全保密检查?
答:秘密级、机密级信息系统:应每两年至少进行一次安全保密测评或保密检查;
绝密级信息系统:应每年至少进行一次安全保密测评或保密检查。
问:分级保护的系统集成对厂商的资质有什么要求?
答:甲级资质单位可在全国范围内承接涉密信息系统的规划、设计和实施业务,并仅可承担本单位承建的涉
答:电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网 接入服务单位、数据中心等单位的重要信息系统。铁路、银行、海关、税务、民航、电力、证券、保险、外交、 科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、 文、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。市(地)级以 上党政机关的重要网站和办公信息系统。 问:等级保护的主管部门是谁? 答:公安机关是等级保护工作的主管部门,负责信息安全等级保护工作的监督、检查、指导, 问:等级保护是否是强制性的,可以不做吗?
答:国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级根据信息系统在国家安全、 经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其 他组织的合法权益的危害程度等因素确定。备案后3级系统每年进行一次监督检查,4级每半年进行一次监督检查。 问:是否只是在政府行业实行?企业是否也在等级保护和分级保护范畴之内? 答:等级保护涉及所有行业,只要有信息系统的单位都在等级保护覆盖范围(涉密系统除外)
分级保护测评适用单位
可编辑ppt
16
分级保护测评机构
可编辑ppt
17
分级保护相关标准
可编辑ppt
18
分级保护测评相关流程
可编辑ppt
19
分级保护测评技术要求
可编辑ppt
20
分级保护管理要求
可编辑ppt
21
政府行业分级保护测评分工
可编辑ppt
22
分级保护测评时效性
可编辑ppt
23
分级保护评测审核内容
《关于信息安全等级保护工作的实施意见》(公通字【2004】66号)
2007
《信息安全等级保护管理办法》(公通字【2007】43号)
《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安【2007】861号)
2009 《2009年信息安全等级保护工作内容及具体要求》(公信安【2009】232)
可编辑ppt
24
FAQ
问:等级保护与分级保护各分为几个等级,对应关系是什么? 答:等级保护分5个级别:一级(自主保护)、二级(指导保护)、三级(监督保护)、四级(强制保护)、五 级(专控保护)。 分级保护分3个级别:秘密级、机密级(机密增强级)、绝密级。 分级保护与等级保护对应关系:秘密级对应三级、机密级对应四级、绝密级对应五级。 问:等级保护的重要信息系统有哪些?
《信息系统等级保护安全设计技术要求》
测评: 《信息系统安全等级保护测评要求》GB/T
《信息系统安全等级保护测评过程指南》
管理: 《信息系统安全管理要求》 GB/T 20269-2006
《信息系统安全工程管理要求》GB/T 20282-2006
可编辑ppt
8
等级保护完全的实施过程
可编辑ppt
9
等级保护基本安全要求
可编辑ppt
25
FAQ
问:分级保护的主管部门是谁?
答:国家保密工作部门(国家保密局、各省保密局、各地市市保密局)。
问:分级保护的政策依据是哪个文件?
答:《涉及国家秘密的信息系统分级保护管理办法》(国保发[2005]16号)。
问:哪些单位可以做分级保护的测评,有什么资质要求?
答:目前,国家保密工作部门及国家保密局授权的系统测评机构负责测评,测评机构应具备涉及国家秘密的
可编辑ppt
10
等级保护三级系统的控制类和控制项
可编辑ppt
11
等级保护三级系统的控制类和控制项
可编辑ppt
12
等级保护三级系统安全保护要求-数据安全和备份恢复
可编辑ppt
13
等级保护三级系统安全保护要求-数据安全和备份恢复
可编辑ppt
14
PART 02:
“分级保护测评”基础
可编辑ppt
15
2012 《计算机信息网络国际联网安全保护管理办法》(公安部第33号令) (2012-02-06)
《中华人民共和国计算机信息系统安全保护条例》 (2012-02-07)
2017年 《互联网安全保护技术措施规定》(公安部令第82号) (2017-08-30)
《中华人民共和国网络安全法 》(2017-08-30)