当前位置:文档之家 › 信息安全等级保护介绍

信息安全等级保护介绍

  • 格式:ppt
  • 大小:471.50 KB
  • 文档页数:51

下载文档原格式

  / 51

合集下载

信息系统安全等级保护

信息系统安全等级保护

等级保护要求的组合
安全保护等级定级参考
1)一级,小型私营、个体企业、中小学,乡镇所属信息系统,县级单位一般的信息系统 2)二级,县级某些单位重要信息系统;地市级以上国家机关、企事业单位内部一般信息系统 (例如非涉及工作、商业秘密,敏感信息的办公系统和管理系统) 3)三级,地市级以上国家机关、企事业单位内部重要信息系统(例如涉及工作、商业秘密, 敏感信息的办公系统和管理系统)。跨省或全国联网运行的用于生产、调度、管理、控制等 方面的重要系统及在省、地市的分支系统;中央各部委、省(区、市)门户网站和重要网站 4)四级,国家重要领域、重要部门中的特别重要系统以及核心系统,电力、电信、广电、税 务等 5)五级,国家重要领域、重要部门中的极端重要系统
- 在信息系统确定安全保护等级过程中,可以进行必要的业务和技术评估,组织专家进行咨询评 审。对拟确定为第四级以上的信息系统的运营、使用单位或主管部门应当邀请国家信息安全等级 保护专家评审委员会评审。
- 第二级以上信息系统由其运营使用单位到所在地设区的市级以上公安机关办理备案手续。隶属 于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部 门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统, 应当向当地设区的市级以上公安机关备案。
▪ 《涉及国家秘密计算机信息系统安全保密
涉方密案信设计息指系南》统B安MB全23-保20障08 建设 ▪指《管南涉 理及 规国 范》家B秘M密B计20算-2机0信07息系统分级保护
▪ 《涉及国家秘密的信息系统分级保护测评 指南》BMB22—2007
▪ 《涉及国家秘密计算机信息系统分级保护 管理办法 》国家保密局16号
等级保护的主要工作流程

国家信息安全等级保护

国家信息安全等级保护

国家信息安全等级保护国家信息安全等级保护是在国家信息安全领域应用的一种机制,是针对国家重要信息系统、重要信息资源和配套设施等采取的一种保护等级分类措施。

该机制旨在以不同安全保护要求划分不同等级的保护水平,并采取精心设计的安全措施和管理程序,确保被保护的国家信息资源的正常运行和实现安全的数据交换。

根据中国信息安全等级保护规定,国家信息安全等级保护应分为四个级别:高度保密、重要保护、一般保护和低等保护。

每个级别的保护要求逐级提高,反映出网络信息安全防护和管理规定的不同要求;安全级别从低到高,保护措施和安全管理程序也从低到高,其安全级别应以具体信息安全需求、相关行业安全规定以及国家信息安全管理要求为依据,综合综合考虑四个层面。

国家信息安全等级保护各级应包括以下内容:(1)安全需求分析,对用户要求的保密要求和可用的资源进行评估和分析;(2)安全技术选择,采用系统运行安全需要的适当安全技术;(3)安全规程编写,制定保护特定级别系统所需的安全规程;(4)安全管理体系建立,通过保护机制与应用安全技术,实现保护要求的最优效果;(5)安全防护规程,落实安全技术和安全管理机制;(6)安全运行规范,使用安全技术及运行软件等符合安全要求;(7)后续审计,定期对信息安全保护系统进行评审。

此外,为保证信息安全,网络安全应按不同安全保护级别建立详细的信息安全管理规章,以及合理划分特定级别的访问权限,提高网络安全管理水平。

国家信息安全等级保护的实施不仅能保护信息系统的正常运行,还有助于提高数字信息安全的保护水平。

但是,也存在部分保护等级高低不一的情况,这就需要事先制定细化的安全管理制度以确保信息安全。

如此,仅通过国家信息安全等级保护机制往往难以获得最佳保护水平,必须配以专业的信息安全管理和运行管理体系,才能真正发挥其作用。

信息安全等级保护

信息安全等级保护

信息安全等级保护1.定义(百度百科)信息安全等级保护,是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。

(百度文库)信息安全等级保护是指国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。

信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。

2. 工作内容信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。

3. 核心信息安全等级保护的核心是对信息安全分等级、按标准进行建设、管理和监督。

4.分级第一级为自主保护级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。

第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。

第二级为指导保护级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。

国家信息安全监管部门对该级信息系统安全等级保护工作进行指导。

第三级为监督保护级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。

国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。

第四级为强制保护级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。

国家信息安全监管部门对该级信息系统安全等级保护工作进行强制监督、检查。

第五级专控保护级,信息系统受到破坏后,会对国家安全造成特别严重损害。

国家信息安全监管部门对该级信息系统安全等级保护工作进行专门监督、检查。

5. 体系结构(1)技术部分包括物理安全,网络安全,主机安全,应用安全,数据安全。

信息安全等级保护

信息安全等级保护

信息安全等级保护引言随着信息技术的快速发展,互联网的普及和应用广泛应用,信息的机密性、完整性和可用性面临着越来越多的威胁。

信息泄露、数据篡改、系统瘫痪等安全事件频繁发生,给个人、组织和国家带来了巨大的损失。

为了确保信息的安全,信息安全等级保护成为重要的安全领域之一。

什么是信息安全等级保护?信息安全等级保护(Information Security Level Protection,ISLP)是指根据信息资产的重要性和敏感性,采取一系列的安全措施和管理措施,对信息进行全面保护的过程。

通过对信息的分类、等级评定和相应的防护措施的制定和实施,确保信息在存储、传输和处理过程中的机密性、完整性和可用性。

信息安全等级分类根据信息资产的不同重要程度和敏感性,信息安全等级可以分为多个等级,一般分为四级:商密级、机密级、秘密级和绝密级。

每个级别都有对应的保密要求和保护措施。

商密级商密级是指商业机构的商业秘密级别。

商密级的信息资产不具备机密性要求,但商业机密对商业机构的业务正常运转和竞争力具有重要意义。

商密级的信息安全保护主要包括访问控制、数据备份和恢复、网络安全防护等措施。

机密级机密级是指国家安全和国家利益可能受到损害的,应当进行保密的信息级别。

机密级的信息资产具有较高的机密性要求。

对于机密级的信息安全保护,需要采取严格的访问控制、数据加密、入侵检测和防御、应急响应等安全措施。

秘密级秘密级是指对国家安全和利益可能造成较大损失的,应当进行保密的信息级别。

秘密级的信息资产具有较高的秘密性要求。

对于秘密级的信息安全保护,需要加强访问控制、网络隔离、安全审计和监控、数据备份和灾难恢复等安全措施。

绝密级是指对国家安全和利益造成特别重大损失的,应当进行极高级别保密的信息级别。

绝密级的信息资产具有最高的机密性要求。

对于绝密级的信息安全保护,需要采用最高级别的加密算法和设备、严格的网络隔离和访问控制、安全审计和监控、多层次备份和恢复等安全措施。

信息安全等级保护政策体系-

信息安全等级保护政策体系-

第2部分
信息安全等级保护政策体系和标准体系
5.信息安全等级保护主要标准简要说明
(1)《计算机信息系统安全保护等级划分准则》(GB17859—1999) 1)主要作用 规范和指导计算机信息系统安全保护有关标准的制定; 为安全产品的研究开发提供技术支持; 为监督检查提供依据。 2)主要内容 界定计算机信息系统基本概念; 信息系统安全保护能力五级划分; 从自主访问控制、强制访问控制、标记、身份鉴别、客体重用、审计、数据完整性、隐蔽信道分析、 可信路径、可信恢复等十个方面, 采取逐级增强的方式提出了计算机信息系统的安全保护技术要求。 3)使用说明
统安全管理要求》的有关内容, 在设计建设整改方案时可参考。 按照整体安全的原则, 综合考虑安全保护措施。
第2部分
信息安全等级保护政策体系和标准体系
5.信息安全等级保护主要标准简要说明
(2)《信息系统安全等级保护基本要求》(GB/T22239—2008) 使用说明 业务信息安全类(S 类)——关注的是保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未 授权的修改。 系统服务安全类(A 类)——关注的是保护系统连续正常的运行, 避免因对系统的未授权修改、破坏而 导致系统不可用。 通用安全保护类(G 类)——既关注保护业务信息的安全性, 同时也关注保护系统的连续可用性。
2.信息安全等级保护标准体系
(1)信息安全等级保护相关标准类别 产品类标准 1)操作系统 《操作系统安全技术要求》(GB/T 20272—2006) 《操作系统安全评估准则》(GB/T 20008—2005) 2)数据库 《数据库管理系统安全技术要求》(GB/T 20273—2006) 《数据库管理系统安全评估准则》(GB/T 20009—2005)
安全管理制度评审、人员 安全和系统建设过程管理

信息安全等级保护介绍(银行培训)

信息安全等级保护介绍(银行培训)

信息安全技术 信息系统安全等级保
信息安全技术 信息系统安全等级保
信息安全技术 信息系统安全等级保
信息技术安全 信息系统等级保护安
信息安全技术 信息系统安全等级保 信息安全技术 信息系统安全等级保
《基本要求》的框架结构
第一级基本 要求 第二级基本 要求 第三级基本 要求 第四级基本 要求 第五级基本 要求
第一级
信息系统安全等级的划分
等级 对象 侵害客体 公民、法人和其他组织的合 法权益 一般系统 第二级 公民、法人和其他组织的合 法权益 社会秩序和公共利益 第三级 重要系统 社会秩序和公共利益 第四级 国家安全 严重损害 特别严重损害 强制监督检 查保护 专门监督检 查保护 社会秩序和公共利益 侵害程度 监管强度
等级保护法律政策体系
7、《关于加强国家电子政务工程建设项目信息安全风险评 估工作的通知》(发改高技[2008]2071号) 8、《关于推动信息安全等级保护测评体系建设和开展等级 测评工作的通知》(公信安[2010]303号)。 9、《关于印发〈信息系统安全等级测评报告模版(试行)〉 的通知》(公信安[2009]1487号) 10、《公安机关信息安全等级保护检查工作规范》(公信安 [2008]736号 ) 11、《关于开展信息安全等级保护专项监督检查工作的通知》 (公信安[2010]1175号) 12、《关于进一步推进中央企业信息安全等级保护工作的通 知》(公通字[2010]70号)
系统服务
业务系统的服务范围、服务对象等
确定受侵害的客体
国家安全 – 体现了国家层面、与全局相关的国家政治安全、军事安全、经 济安全、社会安全、科技安全等方面利益。 社会秩序和公共利益 – 包括政治、经济、生产、生活、科研、工作等各方面的正常秩 序和社会公众生产、生活、教育、卫生等方面的利益。

信息安全等保等级

信息安全等保等级信息安全等保等级是指对信息系统的安全性进行评估和等级划分的一种方法。

根据信息系统的重要性和敏感程度,将其划分为不同的等级,并为每个等级制定不同的安全措施和管理要求。

本文将从不同等级的定义和特点、等级划分的依据和方法、等级保护的措施和管理要求等方面进行阐述。

一、不同等级的定义和特点信息安全等保等级分为四个等级,即一级、二级、三级和四级。

不同等级之间的主要区别在于信息系统的重要性和敏感程度。

一级等保是对国家重要信息系统的保护,主要面向国家安全和国家利益;二级等保是对重要信息系统的保护,主要面向国家安全和社会公共利益;三级等保是对较重要信息系统的保护,主要面向社会公共安全和社会公共利益;四级等保是对一般信息系统的保护,主要面向社会公共利益和个人权益。

不同等级之间的特点也有所不同。

一级等保的特点是安全性要求极高,需要采用最严格的安全措施和管理要求;二级等保的特点是安全性要求较高,需要采用较严格的安全措施和管理要求;三级等保的特点是安全性要求一般,需要采用一般的安全措施和管理要求;四级等保的特点是安全性要求较低,需要采用较宽松的安全措施和管理要求。

二、等级划分的依据和方法信息安全等保等级的划分主要依据是信息系统的重要性和敏感程度。

划分等级的方法可以采用定性和定量相结合的方法。

定性方法是根据信息系统的功能、用途、数据类型等进行判断和划分;定量方法是通过对信息系统的安全风险进行评估和量化,然后根据评估结果进行划分。

在等级划分的过程中,需要考虑的因素包括信息系统的功能、用途、数据类型、对外联网情况、系统规模、关键业务流程等。

同时,还需要参考相关的法律法规、标准规范和行业要求,以确保等级划分的准确性和合理性。

三、等级保护的措施和管理要求不同等级的信息安全等保有不同的措施和管理要求。

一级等保需要采取最高级别的安全措施,包括安全审计、安全监控、安全漏洞修复、安全事件响应等;同时,还需要建立完善的安全管理制度,包括安全策略、安全规范、安全培训等。

【了解1】等保基础知识

初级-1.等级保护基础知识CONTENT01等保发展历程02等保和网络安全法的关系03等保建设流程04深信服等保业务流01等保发展历程l等保发展的几个重要事件等级保护发展历程第九条:计算机信息系统实行安全等级保护。

1994年-国务院147号令信息安全保障纲领性文件。

第二条:实行信息安全等级保护。

2003年-中办发27号文强制性标准:规定了我国计算机信息系统安全保护能力的五个等级。

1999年-GB 17859等保2.0,信服同行第二十一条:国家实行网络安全等级保护制度。

2017年-《网络安全法》02等保和网络安全法关系l等保涉及的法律条款l执法案例Ø第二十一条Ø国家实行网络安全等级保护制度。

网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;(四)采取数据分类、重要数据备份和加密等措施;(五)法律、行政法规规定的其他义务。

Ø第三十一条 Ø国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。

关键信息基础设施的具体范围和安全保护办法由国务院制定。

《中华人民共和国网络安全法》--法律要求《中华人民共和国网络安全法》--法律责任Ø第五十九条Ø网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款;对直接负责的主管人员处五千元以上五万元以下罚款。

信息安全等级保护管理办法


信息安全等级保护的风险监控与改进
风险监控
• 实时监测信息系统的安全状况 • 分析风险的发展趋势,采取相应措施
改进
• 根据风险监控结果,调整安全保护措施 • 提高信息系统的安全性能
06 信息安全等级保护的未来发展趋势
信息安全等级保护技术的创新与发展
技术创新
• 研究和应用新技术,提高信息安全保护水平 • 如:人工智能、大数据、区块链等技术在信息安全等级 保护中的应用
DOCS SMART CREATE
信息安全等级保护管理办法
CREATE TOGETHER
DOCS
01 信息安全等级保护概述
信息安全等级保护的定义与意义
信息安全等级保护是一种制度
• 规定信息系统应达到的安全要求 • 为信息系统提供安全保障
信息安全等级保护的意义
• 保护国家信息安全 • 维护社会稳定和经济发展 • 促进信息化建设和网络安全产业发展
确定信息系统安全保护等级
根据信息系统 的重要性、敏 感性和保密性
进行定级
01
参考《信息安 全等级保护基 本要求》进行
定级
02
确定信息系统 的保护等级
03
开展信息安全等级保护定级备案
向公安机关提交定级备案材料 材料包括:信息系统定级报告、定级备案表等 公安机关审核通过后,发放备案证书
落实信息安全等级保护措施
信息安全等级保护的原则与方法
信息安全等级保护的原则
• 分类保护:根据信息系统的重要性、敏感性和保密性进行分类 • 分级保护:根据信息系统的安全等级采取相应级别的保护措施 • 动态调整:根据信息系统安全状况的变化调整保护措施
信息安全等级保护的方法
• 定级备案:确定信息系统安全保护等级并备案 • 安全措施:落实信息安全等级保护措施 • 测评检查:进行信息安全等级保护测评和检查

信息安全等级保护标准

信息安全等级保护标准信息安全等级保护标准是指根据信息系统对信息的重要性和保密要求,对信息系统进行等级划分,并按照不同等级的保护要求,采取相应的技术和管理措施,以保障信息系统的安全性和可靠性。

信息安全等级保护标准的制定和执行,对于保护国家机密信息,维护国家安全,保障国家利益具有重要意义。

首先,信息安全等级保护标准的制定需根据信息系统所处的环境、所处理的信息内容和信息系统的重要程度来确定。

不同等级的信息系统,其信息安全等级保护标准也会有所不同。

在制定信息安全等级保护标准时,需要充分考虑信息系统的功能和用途,以及其所处的环境和风险特征,综合评估信息系统对信息的重要性和保密要求,确定信息安全等级。

其次,信息安全等级保护标准需要明确不同等级信息系统的保护要求。

对于不同等级的信息系统,其信息安全等级保护标准需要明确具体的保护要求,包括技术和管理措施。

技术措施包括网络安全、数据加密、访问控制、身份认证等技术手段,用于保障信息系统的安全性;管理措施包括安全管理制度、安全培训教育、安全事件响应等管理手段,用于规范信息系统的安全运行。

再次,信息安全等级保护标准的执行需要全面覆盖信息系统的建设、运维和管理全过程。

在信息系统的建设过程中,需要根据信息安全等级保护标准的要求,设计和实施相应的安全措施,确保信息系统在设计阶段就具备安全性;在信息系统的运维过程中,需要严格执行信息安全等级保护标准,对信息系统进行安全监控、漏洞修补、事件响应等工作;在信息系统的管理过程中,需要建立健全的安全管理制度,加强安全培训教育,提高信息系统的安全意识。

最后,信息安全等级保护标准的执行需要建立健全的监督检查机制。

相关部门需要建立健全的信息安全等级保护标准的监督检查机制,对信息系统的安全性进行定期检查和评估,发现和解决安全隐患,确保信息系统的安全性和可靠性。

同时,还需要建立信息安全等级保护标准的违规处罚机制,对违反信息安全等级保护标准的行为进行惩处,提高信息安全等级保护标准的执行力度。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

第六步,备案
第二级以上信息系统,在安全保护等级确定 后30日内,由其运营、使用单位到所在地设区的市 级以上公安机关办理备案手续。隶属于中央的在京 单位,其跨省或者全国统一联网运行并由主管部门 统一定级的信息系统,由主管部门向公安部办理备 案手续。跨省或者全国统一联网运行的信息系统在 各地运行、应用的分支系统,应当向当地设区的市 级以上公安机关备案。定级工作的结果是以备案完 成为标志。基础信息网络和重要信息系统的定级、 备案工作9月底前完成。
二、实行信息安全等级保护制度能够
解决哪些主要问题
信息安全等级保护是国家信息安全保障工作的基本制度、 基本策略、基本方法。开展信息安全等级保护工作是保护信 息化发展、维护国家信息安全的根本保障,是信息安全保障 工作中国家意志的体现。
有效解决我国信息安全面临的威胁和存在的主要问题, 充分体现“适度安全、保护重点”的目的,将有限的财力、 物力、人力投入到重要信息系统安全保护中,按标准建设安 全保护措施,建立安全保护制度,落实安全责任,有效保护 基础信息网络和关系国家安全、经济命脉、社会稳定的重要 信息系统的安全,有效提高我国信息安全保障工作的整体水 平。
严重损害:工作职能受到严重影响,业务能力 显著下降且严重影响主要功能执行,出现较严 重的法律问题,较高的资产损失,较大范围的 社会不良影响,对其他组织和个人造成较严重 损害。
特别严重损害:工作职能受到特别严重影响或丧 失行使能力,业务能力严重下降且或功能无法执 行,出现极其严重的法律问题,极高的资产损失, 大范围的社会不良影响,对其他组织和个人造成 非常严重损害。
关于侵害客体和侵害程度
三种受侵害的客体: 国家安全
体现了国家层面、与全局相关的国家政治安全、军事安全、 经济安全、社会安全、科技安全等方面利益。
社会秩序和公共利益
包括政治、经济、生产、生活、科研、工作等各方面的正常 秩序和社会公众生产、生活、教育、卫生等方面的利益。
合法权益
第一步,摸底调查,掌握信息系统底 数
按照《定级工作通知》确定的定级范围,各单位、各 部门可以组织开展对所属信息系统进行摸底调查,摸清 信息系统底数,掌握信息系统(包括信息网络)的业务 类型、应用或服务范围、系统结构等基本情况,为下一 步明确要求、落实责任奠定基础。
第二步,确定定级对象
一是应用系统应按照不同业务类别单独确定为定级对象, 不以系统是否进行数据交换、是否独享设备为确定定级 对象条件。起传输作用的基础网络要作为单独的定级对 象。
国家安全
第三级
第四级
第五级
表3 系统服务安全等级 矩阵表
作为定级对象的信息系 统的安全保护等级由业 务信息安全等级和系统 服务安全等级的较高者 决定。定级对象等级确 定后,可参照附件中的 《信息系统安全保护等 级定级报告》模版起草 定级报告。
对相应客体的侵害程度
系统服务安全被 破坏时所侵害 的客体
第七步,备案审核
受理备案的公安机关要公布备案受理地点、备案联系 方式等。在受理备案时,应对提交的备案材料进行完整性 审核和定级准确性审核。对符合等级保护要求的,应颁发 信息系统安全等级保护备案证明。发现定级不准的,通知 备案单位重新审核确定。
第八步,及时总结并提交总结报告
各地区、各部门要结合本地区、本行业开展定级工作 的实际,认真总结经验和不足,提出改进和完善定级方法 的意见和建议,及时总结定级工作经验,形成定级工作总 结报告,并于10月中旬报送公安部。
一般损 害
公民、法人和其 第一级 他组织的合法 权益
严重损 害
第二级
特别严 重 损 害
第二级
社会秩序、公共 第二级 第三级 第四级 利益
国家安全
第三级 第四级 第五级
不同危害后果的三种危害程度描述如下:
一般损害:工作职能受到局部影响,业务能力 有所降低但不影响主要功能的执行,出现较轻 的法律问题,较低的资产损失,有限的社会不 良影响,对其他组织和个人造成较低损害。
八、定级工作完成后需要开展哪 些工作
一是开展安全建设和整改。 二是开展等级测评。 三是开展自查。
九、开展安全等级保护工作依据的主
要标准有哪些
1、基础标准-划分准则(GB17859) 2、基线标准- 《信息系统安全等级保护基本要求》 3、辅助标准-定级指南、实施指南、测评准则 4、目标标准-
《信息系统通用安全技术要求》(GB/T20271) 《网络基础安全技术要求》(GB/T20270) 《操作系统安全技术要求》(GB/T20272) 《数据库管理系统安全技术要求》(GB/T20273) 《终端计算机系统安全等级技术要求》(GA/T671) 《信息系统安全管理要求》(GB/T20269) 《信息系统安全工程管理要求》(GB/T20282) 5、产品标准-防火墙、入侵检测、终端设备隔离部件等
社会秩序和公共利益
第三级 重要 社会秩序和公共利益 系统 国家安全
第四级
社会秩序和公共利益
国家安全
第五级 极端 国家安全 重要 系统
侵害程度
损害 严重损害 损害 严重损害 损害 特别严重损害 严重损害 特别严重损害
监管强度
自主保护 指导
监督检查
强制监督检查
专门监督检查
第四步,信息系统等级评审
在信息系统安全保护等级确定过程中,可以聘请专家 进行咨询评审,并出具定级评审意见。对拟确定为第四级 以上信息系统的,运营使用单位或者主管部门应当请国家 信息安全保护等级专家评审委员会评审,出具评审意见。
三、国家、有关部门和企业在等级保 护工作中各自的责任和义务是什么
1、国家层面 2、信息安全监管部门(包括公安机关、保密部门、国家 密码工作部门) 3、信息系统主管部门 4、信息系统运营使用单位 5、安全服务机构
等级保护工作的职责分工
公安机关是等级保护工作的牵头部门,承担着信息安 全等级保护工作的监督、检查、指导;
等保技术架构
信息系统安全等级保护测评
安全控制测评
系统整体测评
安全技术测评
安全管理测评
安全控制间
层面间
区域间
物理安全
网络安全
主机理机构 安全管理制度 人员安全管理
系统建设管理 系统运维管理
不同信息系统之间整体安全性 整体结构安全 整体拓扑/局部结构
系统定级的具体实施
信息安全和系统服务安全被破坏后对客体的侵害 程度,由对不同危害结果的危害程度进行综合评 定得出。由于各行业信息系统所处理的信息种类 和系统服务特点各不相同,信息安全和系统服务 安全受到破坏后关注的危害结果、危害程度的计 算方式均可能不同,各行业可根据本行业信息特 点和系统服务特点,制定危害程度的综合评定方 法,并给出侵害不同客体造成损害、严重损害、 特别严重损害的具体定义。
根据系统服务安全被破坏时所侵害的客体以及对相 应客体的侵害程度,依据表2系统服务安全等级矩阵 表,即可得到系统服务安全等级。
业务信息安全被破坏时所侵 害的客体
对相应客体的侵害程度
一般损害
严重损害
公民、法人和其他组织的合 第一级 法权益
社会秩序、公共利益
第二级
第二级 第三级
特别严重损 害 第二级
第四级
信息网络的安全等级可以参照在其上运行的 信息系统的等级、网络的服务范围和自身的安全需 求确定适当的保护等级,不以在其上运行的信息系 统的最高等级或最低等级为标准。
跨省或者全国统一联网运行的信息系统,可以由主管部
门统一确定安全保护等级。由各行业统一规划、统一建设、 统一安全保护策略的信息系统,应由各部委统一确定一个 级别;由各部委统一规划、分级建设、运行的信息系统, 应由部、省、地市分别确定系统等级,但各行业应对该类 系统提出定级意见,避免出现同类系统定级出现较大偏差 问题。
七、定级工作的主要步骤是什么
定级是等级保护工作的首要环节,是开展信 息系统建设、整改、测评、备案、监督检查等后 续工作的重要基础。 第一步,摸底调查,掌握信息系统底数 第二步,确定定级对象 第三步,初步确定信息系统等级 第四步,信息系统等级评审
第五步,信息系统等级的最终确定与审批 第六步:备案。 第七步:备案审核。 第八步:及时总结并提交总结报告。
信息安全等级保护交流
一、我国在信息安全保障工作中为什 么要实行等级保护制度
当前,我国基础信息网络和重要信息系统安全面临的形 势十分严峻,既有外部威胁,又有自身脆弱性和薄弱环节。
一是针对基础信息网络和重要信息系统的违法犯罪持续上 升。
二是基础信息网络和重要信息系统安全隐患严重。 三是我国的信息安全保障工作基础还很薄弱。
定级基本流程1
1、确定定级对象
2、确定业务信息安全受到破 坏时所侵害的客体
3、综合评定对客体的侵害 程度
依据表2
4、业务信息安全保护等级
5、确定系统服务安全受到破 坏时所侵害的客体
6、综合评定对客体的侵害 程度 依据表3
7、系统服务安全保护等级
8、定级对象的安全保护等级
表2 业务信息安全等级矩阵表
国家保密工作部门、国家密码管理部门负责等级保护 工作中有关保密工作和密码工作的监督、检查、指导;
国信办及地方信息化领导小组办事机构负责等级保护 工作部门间的协调。
其中,涉及国家秘密信息系统的等级保护监督管理工 作由国家保密工作部门负责;非涉及国家秘密信息系统的 等级保护监督管理工作由公安机关负责。
四、近几年来开展了哪些具体工作
当专家意见与运营使用单位或者主管部门不一致时, 以运营使用单位或者主管部门意见为准。
在信息系统安全保护等级确定过程中,可以聘请专家
进行咨询评审,并出具定级评审意见。对拟确定为第四级 以上信息系统的,运营使用单位或者主管部门应当请国家 信息安全保护等级专家评审委员会评审,出具评审意见。
当专家意见与运营使用单位或者主管部门不一致时, 以运营使用单位或者主管部门意见为准。