信息安全等级保护培训课程(PDF 99页)

第四级 S1A4G4，S2A4G4，S3A4G4，S4A4G4，S4A3G4，
S4A2G4，S4A1G4
第五级 S1A5G5，S2A5G5，S3A5G5，S4A5G5，S5A5G5，
S5A4G5，S5A3G5，S5A2G5，S5A1G5
安全保护能力
系统能够抵御威胁、发现安全事件以及在系 统遭到损害后能够恢复先前状态等的程度
转发《国家信息化领导小组关于推进国家电子政务网络建设 的意见》的通知
5
公通字[2007]43 号
公安部/4部委
信息安全等级保护管理办法
6
公信安 [2007]1360号
公安部
《信息安全等级保护备案实施细则》
7
公信安[2007]861 号
公安部/4部委
关于开展全国重要信息系统安全等级保护定级工作的通知
8
2008
信息安全技术
信息系安全统技安术全等级信保息护系基统本通要用求安全技术要求
3 GB/T 21052-2006 信息安全技术 信息系统物理安全技术要求
6
GB/T 244856-GB/T 2009
2信02息7安0-全20技0术6
信息系安全统技等术级保护网安络全基设础计安技全术技要术求要求
5 GB/T 20272-2006 信息安全技术 操作系统安全技术要求
4、业务信息安全等级
7、系统服务安全等级
8、定级对象的安全保护等级
基本要求中的“S”、“A”、“G”
三类基本要求
S类—业务信息安全保护类—关注的是保护 数据在存储、传输、处理过程中不被泄漏、 破坏和免受未授权的修改。
A类—系统服务安全保护类—关注的是保护 系统连续正常的运行，避免因对系统的未授 权修改、破坏而导致系统不可用。
序号
标准编号
标准分类
名称
1 GB/T 22240-2008 信息安全技术 信息系统安全保护等级定级指南
GB/T序25号058- 标准编号
标准分类
信息系统等级保护实施指南
2
2010
信息安全技术
名称
1
GB 17859-1999 信息安全技术 计算机信息系统安全保护等级划分准则
5
GB/T 222239-GB/T 20271-2006
G类—通用安全保护类—既关注保护业务信 息的安全性，同时也关注保护系统的连续可 用性。
基本要求中的“S”、“A”、“G”
安全保护等
信息系统基本保护要求的组合
级
第一级 S1A1G1
第二级 S1A2G2，S2A2G2，S2A1G2
第三级 S1A3G3，S2A3G3，S3A3G3，S3A2G3，S3A1G3
建设整改-工作的部署
2009年，《关于印送<关于开展信息安全等 级保护安全建设整改工作的指导意见>的函》 （公信安[2009]1429号），标志着等级保 护建设整改工作的启动。、
全国已定级信息系统安全建设整改工作总体 上用三年时间完成。
指对国家秘密信息、法人和其他组织及公民的专有 信息以及公开信息和存储、传输、处理这些信息的 信息系统分等级实行安全保护；
对信息系统中使用的信息安全产品实行按等级管理； 对信息系统中发生的信息安全事件分等级响应、处
置
（摘自“66号”文件）
信息系统安全等级保护主要工作
一是：定级备案 二是：建设整改 三是：等级测评 四是：监督检查
10 GB/T 20282-2006 信息安全技术 信息系统安全工程管理要求
安全建设整改的依据
信息系统安全等级保护定级指南
信息系统安全等级保护行业定级细则
评信 过息 程系 指统 南安
全 等 级 保
护 测
评信 要息 求系
统 安 全 等 级 保
护 测
安全等级
状 况 分 析
信息安全等级 保护安全建设
整改工作
信息安全等级保护培训
等级保护安全建设整改
马力
公安部信息安全等级保护评估中心
目录
有关的概念、政策和标准回顾 安全建设整改的工作流程和内容 安全建设整改的具体要求和方法
主要概念来自百度文库顾
信息系统安全等级保护 安全等级保护的主要工作 “S”“A”“G” 系统安全保护能力 信息安全风险评估
信息系统安全等级保护
7
6
GB/T 20273-2006 信信息息系安统全安技全术保护数等据级库测管评理过系程统指安南全技术要求
8
7
GB/T 21028-2006
信息安全技术 服务器技术要求 信息系统等级保护测评指南
8
GA/T 671-2006
信息安全技术 终端计算机系统安全等级技术要求
9 GB/T 20269-2006 信息安全技术 信息系统安全管理要求
方 法 指 导
基线要求
信息系统安全等级保护基本要求的行业细则
信
信
息
息
系
系
统
统
等
安
级
全
保
等
护
级
安
保
全
护
设
实
计
施
技
指
术
南
要
求
信息系统安全等级保护基本要求
技术类
信息系统通用安全
管理类
信息系统安全
产品类
操作系统安全技术
目录
有关的概念、政策和标准回顾 安全建设整改的具体要求和工作流程 安全建设整改的内容和方法
（摘自“43号”文件）
等级保护主要工作
定级过程中的“S”、“A”
1、确定定级对象
信息系统安全包括业务信息安全和系统服务安全
S：业务信息安全 2、确定业务信息安全受到破坏时所侵害 的客体
5、确定系统服务安全受到破坏时所侵害 的客体
A：系统服务安全 3、综合评定对客体的侵害程度
6、综合评定对客体的侵害程度
对抗能力 检测能力 恢复能力
信息安全风险评估
业务战略
依赖
脆弱性
暴露
资产
具有
利用
威胁
增加 增加
未被满足
风险
导出
演变
抵御
降低
安全事件
可能诱发
残余风险
未控制
资产价值
成本
安全需求
被满足
安全措施
（摘自《信息安 全风险评估规范》 （GB/T209842007））
序号
文号
发文单位
名称
政策（主要）回顾 1
公信安[2008]736 号
公安部
《公安机关信息安全等级保护检查工作规范（试行）》
9
发改高技 [2008]2071号
发改委
《关于加强国家电子政务工程建设项目信息安全风险评估工 作的通知》
10
公信安 [2009]1429号
公安部
关于印送《关于开展信息安全等级保护安全建设整改工作的 指导意见》的函
标准（部分）回顾
国务院令【1994】 １４７号
国务院
中华人民共和国计算机信息系统安全保护条例 规定“计算 机信息系统实行安全等级保护”
2
中办发[2003]27 号
中央办公厅
国家信息化领导小组关于加强信息安全保障工作的意见
3
公通字[2004]66 号
公安部/4部委
关于信息安全等级保护工作的实施意见
4 中办 [2006]18号 中央办公厅