当前位置:文档之家 › 网络安全等级保护定级流程ppt

网络安全等级保护定级流程ppt

  • 格式:pptx
  • 大小:6.05 MB
  • 文档页数:34

下载文档原格式

  / 34

合集下载

网络安全法与等级保护ppt课件

网络安全法与等级保护ppt课件
对于违反《网络安全法》的处罚视情节严重,处罚措施分为: 1、责令改正,给予警告; 2、拒不改正或者导致危害网络安全等后果的,对企业处1-100万罚款,对直接负 责的主管人员和其他直接责任人员处1-10万罚款; 3、并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊 销营业执照。
病原体侵入机体,消弱机体防御机能 ,破坏 机体内 环境的 相对稳 定性, 且在一 定部位 生长繁 殖,引 起不同 程度的 病理生 理过程
公司1-10万,主管5千-5万。
病原体侵入机体,消弱机体防御机能 ,破坏 机体内 环境的 相对稳 定性, 且在一 定部位 生长繁 殖,引 起不同 程度的 病理生 理过程
根据《网络安全法》第六章-法律责任相关条款解释:本法律处罚力度空前严格,处 罚不仅涉及到企业,而且涉及到法人、管理人员、一般员工等多个层面;既有经济处罚, 也有行政处罚。
②法律责任:由有关主管部门责令改正,给予警告;拒不改正或 者导致危害网络安全等后果的,处10万元以上100万元以下罚款 ,对直接负责的主管人员处1万元以上10万元以下罚款。
病原体侵入机体,消弱机体防御机能 ,破坏 机体内 环境的 相对稳 定性, 且在一 定部位 生长繁 殖,引 起不同 程度的 病理生 理过程
划分准则--GB 17859-1999
第一级为自主保护级,适用于一般的信息和信息系统,其受到破 坏后,会对公民、法人和其他组织的合法权益造成一定损害,但不损 害国家安全、社会秩序和公共利益。
第二级为指导保护级,信息系统受到破坏后,会对公民、法人 和其他组织的合法权益造成严重损害,或者对社会秩序和公共利益造 成损害,但不损害国家安全。
《网络安全法》自2017年6月1日正式实施,网络安全等级保护制度已经上升为 法律规定的强制义务,这是我国自1994年发布实施《中华人民共和国计算机信息 系统保护条例》将“等级保护”明确为我国计算机安全保护的根本制度以来,首 次将其写入法律。

等级保护政策、流程、内容、定级介绍 ppt课件

等级保护政策、流程、内容、定级介绍 ppt课件

2010年10月15日,第十七届中央委员会第五次全体会议 中提出的十二五规划中要求“健全网络与信息安全法律 法规,完善信息安全标准体系和认证认可体系,实施信 息安全等级保护、风险评估等制度”。
2012年7月17日,国务院办公厅(国发[2012]23号)——
《国务院关于大力推进信息化发展和切实保障信息安全
ppt课件
9
4 主要工作内容
工作实施过程中涉及到的角色和职责:
系统定级 系统备案 安全建设 等级测评 监督检查
ppt课件
10
5 等级保护主要工作流程
业务流程
•不合格项整改 •整改后测评
备案
测评申请
信息系统
测评
测评准备
ppt课件
11
6 等级保护定级工作流程
定级流程4 Biblioteka 级备案ppt课件8
3 等保测评作用
工作实施过程中涉及到的角色和职责: 在信息系统建设、整改时,信息系统运营使用单位通过
等级测评进行安全需求分析,确定系统的特殊安全需求 。信息系统等级保护基本安全要求与确定的特殊安全需 求共同确定了该系统的安全需求。 在系统运维过程中,定期委托测评机构开展等级测评, 对信息系统安全等级保护状况、安全保障性能进行安全 测试,对信息安全管控能力进行考察和评价,从而判定 是否具备《信息系统安全等级保护基本要求》中相应等 级安全保护能力。 等级测评报告是信息系统后期开展整改加固的重要指导 性文件,也是信息系统备案的重要附件材料。等级测评 结论是信息系统满足要求程度的证明文件。
信息安全等级保护基本介绍
河南天祺信息安全技术有限公司
信息安全系统等级保护
1 信息安全等级保护发展历程
2 等级保护的基本概念和含义

信息安全等级保护定级培训PPT

信息安全等级保护定级培训PPT

三、国家、有关部门和企业在等级保 护工作中各自的责任和义务是什么
1、国家层面 2、信息安全监管部门(包括公安机关、保密部门、国家 密码工作部门) 3、信息系统主管部门 4、信息系统运营使用单位 5、安全服务机构
等级保护工作的职责分工
公安机关是等级保护工作的牵头部门,承担着信息安 全等级保护工作的监督、检查、指导; 国家保密工作部门、国家密码管理部门负责等级保护 工作中有关保密工作和密码工作的监督、检查、指导; 国信办及地方信息化领导小组办事机构负责等级保护 工作部门间的协调。 其中,涉及国家秘密信息系统的等级保护监督管理工 作由国家保密工作部门负责;非涉及国家秘密信息系统的 等级保护监督管理工作由公安机关负责。
第一步,摸底调查,掌握信息系统底 数
按照《定级工作通知》确定的定级范围,各单位、各 部门可以组织开展对所属信息系统进行摸底调查,摸清 信息系统底数,掌握信息系统(包括信息网络)的业务 类型、应用或服务范围、系统结构等基本情况,为下一 步明确要求、落实责任奠定基础。
第二步,确定定级对象
一是应用系统应按照不同业务类别单独确定为定级对象, 不以系统是否进行数据交换、是否独享设备为确定定级 对象条件。起传输作用的基础网络要作为单独的定级对 象。 二是确认负责定级的单位是否对所定级系统具有安全管理 责任。 三是具有信息系统的基本要素。
第三步,初步确定信息系统等级
信息系统的安全保护等级是信息系统的客观属 性,不以已采取或将采取什么安全保护措施为依据, 而是以信息系统的重要性和信息系统遭到破坏后对 国家安全、社会稳定、人民群众合法权益的危害程 度为依据,确定信息系统的安全保护等级。既要防 止个别单位片面追求绝对安全而定级过高,也要防 止为了逃避监管定级偏低。 信息网络的安全等级可以参照在其上运行的 信息系统的等级、网络的服务范围和自身的安全需 求确定适当的保护等级,不以在其上运行的信息系 统的最高等级或最低等级为标准。

2023-网络安全等级保护定级-1

2023-网络安全等级保护定级-1

网络安全等级保护定级网络安全等级保护定级是我国网络安全管理体系中的一个重要组成部分,是为了更好地保护我国的信息安全和网络安全而设立的。

它的实施可以使网络安全的管理更加科学和规范化,保证我国信息安全的长远发展。

一、什么是网络安全等级保护定级?网络安全等级保护定级是指根据相关标准和规范,对各类计算机系统、网络及信息系统的安全需要进行分级管理,分为1-5级,级别越高,所要求的保护措施越严格。

通过对不同级别网络系统的不同保护,达到对我国信息安全的全方位防护。

二、网络安全等级保护定级的步骤1. 网络安全自评网络安全自评是指机构根据《网络安全法》等相关法律法规和规范要求,通过内部安全自评,评估该机构“网络安全等级保护定级”的实施情况。

自评包括机构网络安全现状评估、网络安全保障措施评估、网络安全等级保护体系评估等三部分。

2. 网络安全等级保护申报机构根据自评结果,按照所在行业相关标准和规范要求,如国家信息安全等级保护标准(GB/T 22239-2019),填写《网络安全等级保护定级申报表》并提交,经过网络安全等级保护定级检查机构的审核,核定网络安全等级保护级别。

3. 网络安全等级保护定级检查与认定网络安全等级保护定级检查与认定是指根据相关的标准和规范要求,对机构网络安全等级保护的现状进行检查和认证。

检查和认证包含两个部分,分别是现场检查和文件复核。

检查和认证合格后,颁发《网络安全等级保护认证证书》。

三、网络安全等级保护定级的意义网络安全等级保护定级的实施使得机构能够通过评估,了解自身网络安全的现状,进一步完善网络安全保障措施,并以此为依据,按照不同等级的标准和规范要求进行网络安全管理。

通过网络安全等级保护定级的实施,不仅能够保障机构信息安全,减少网络安全风险,还能够提升机构的信誉和形象。

四、网络安全等级保护定级的应用范围网络安全等级保护定级适用于各类计算机系统、网络及信息系统。

如政府机构、金融机构、电力企业、通信运营商等机构需要按照标准和规范要求,进行网络安全等级保护定级实施。

网络安全法与等级保护幻灯片

网络安全法与等级保护幻灯片

2020/3/22

6
制定网络安全法的意义
➢ 确立了网络安全法律规范的基本原则 ➢ 明确了网络安全工作的重点 ➢ 提出制定网络安全战略,明确网络空间治理目标 ➢ 完善了网络安全监管体制 ➢ 强化了网络运行安全,重点保护关键信息基础设施 ➢ 完善了网络安全义务和责任 ➢ 将监测预警与应急处置措施制度化、规范化
罚不仅涉及到企业,而且涉及到法人、管理人员、一般员工等多个层面;既有经济处罚,
也有行政处罚。
对于违法问题有关主管部门责令改正,给予警告;拒不改正或者情节严重的,处一
万元以上一百万元以下罚款,并可以由有关主管部门责令暂停相关业务、停业整顿、关
闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责
第三十八条 关键信息基础设施的运营者应当自行或者委托网络安 全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检 测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设 施安全保护工作的部门。(等级测评)
2020/3/22
10
网络安全法要求及处罚
(1)安全风险评估要求 ①具体内容:应当自行或者委托网络安全服务机构对其网络的安 全性和可能风险每年至少1次检测评估;检测评估情况和改进措 施报送相关负责部门。 ②法律责任:由有关主管部门责令改正, 给予警告;拒不改正或者导致危害网络安全等后果的,处10-100 万罚款,对直接负责的主管人员处1-10万罚款。
2020/3/22
15
网络安全法要求及处罚
(6)应急预案要求 ①具体内容:制定网络安全事件应急预案;在发生危害网络安全 的事件时,立即启动应急预案;按照规定向有关主管部门报告。 ②法律责任:责令改正及警告;警告不改罚款 公司1-10万,主管5千-5万。

网络信息安全等级保护制度PPT课件

网络信息安全等级保护制度PPT课件
求的系统设计的,只具有一个级别
该类是指不符合要求的那些系统,因此,这种
系统不能在多用户环境下处理敏感信息
2017/9/9
11/41
自主保护级(C级)
具有一定的保护能力,采用的措施是身份认证、
自主访问控制和审计跟踪
一般只适用于具有一定等级的多用户环境
具有对主体责任及其动作审计的能力

自主安全保护级(C1级)
网络信息安全等级保护制度
引 言
信息网络的全球化使得信息网络的安全问题也全
球化起来,任何与互联网相连接的信息系统都必
须面对世界范围内的网络攻击、数据窃取、身份 假冒等安全问题。发达国家普遍发生的有关利用 计算机进行犯罪的案件,绝大部分已经在我国出 现。
2017/9/9
2/41
引 言
当前计算机信息系统的建设者、管理者和使用者
2017/9/9 6/47/9/9
7/41
美国国防部早在80年代就针对国防部门的计算机
安全保密开展了一系列有影响的工作,后来成立
了所属的机构--国家计算机安全中心(NCSC)继 续进行有关工作。
2017/9/9
8/41
TCSEC
1984年美国国防部发布的《可信计算机系统评估
TCSEC采用等级评估的方法,将计算机安全分为A、B、 C、D四个等级八个级别,D等级安全级别最低,风险最 高,A等级安全级别最高,风险最低; 评估类别: 安全策略 可审计性 保证 文档
2017/9/9
10/41
无保护级(D级)
是为那些经过评估,但不满足较高评估等级要
2017/9/9
16/41
重点考虑人为的威胁,也用于非人为因素导致的威胁。 CC适用于硬件、固件和软件实现的信息技术安全措施, 而某些内容因涉及特殊专业技术或仅是信息技术安全的外 围技术不在CC的范围内。

等级保护政策、流程、内容、定级介绍 ppt课件


ppt课件
21
8 等级保护安全建设内容
安全建设
在信息系统安全保护等级确定以后,系统运营单位和使 用单位开展系统安全建设和改建工作,通常包括安全需 求分析、总体安全设计、详细安全设计、安全设施实现 和安全运行与维护等工作。
ppt课件
22
9 等级保护监督检查内容
监督检查
公安机关负责信息安全等级保护工作的督促、检查、指 导; 受理备案的公安机关对第三级信息系统的运营、使用单 位每年至少检查一次,对第四级每半年检查一次; 公安机关检查发现不符合有关管理规范和技术标准的, 发出整改通知并进行整改。
信息系统定级工作的主体是信息系统运营和使用单位, 坚持“自主定级、自主保护”原则,因此定级工作应当 由信息系统的运营和使用单位来完成。
ppt课件
13
6 等级保护定级工作流程
定级受理备案审核材料
管理办法规定第二级以上信息系统应当在安全保护等级 确定后30日内,由其运营、使用单位到所在地区的市级 以上公安机关办理系统备案手续。
ppt课件
8
3 等保测评作用
工作实施过程中涉及到的角色和职责: 在信息系统建设、整改时,信息系统运营使用单位通过
等级测评进行安全需求分析,确定系统的特殊安全需求 。信息系统等级保护基本安全要求与确定的特殊安全需 求共同确定了该系统的安全需求。 在系统运维过程中,定期委托测评机构开展等级测评, 对信息系统安全等级保护状况、安全保障性能进行安全 测试,对信息安全管控能力进行考察和评价,从而判定 是否具备《信息系统安全等级保护基本要求》中相应等 级安全保护能力。 等级测评报告是信息系统后期开展整改加固的重要指导 性文件,也是信息系统备案的重要附件材料。等级测评 结论是信息系统满足要求程度的证明文件。

等级保护2.0讲解PPT【优质PPT】


1
8 温湿度控制
1
9 电力供应
4
9 电力供应
3
10 电磁防护
3
10 电磁防护
2
原控制项
新控制项
b) 机房场地应避免设在建筑物的高层
物理位置的选择
或地下室,以及用水设备的下层或隔 壁。
物理位置的 选择
b) 机房场地应避免设在建筑物的顶层或 地下室,否则应加强防水和防潮措施
防静电

防静电
b) 应采取措施防止静电的产生,例如采 用静电消除器、佩戴防静电手环等。
技术 要求
基本要求子类
物理安全 网络安全
信息系统安全等级保护 级别
等保二级 等保三级
19
32
18
33
主机安全
19
32
应用安全
19
31
数据安全
4
8
管理 安全管理制度
7
11
要求
安全管理机构
9
20
人员安全管理
11
16
系统建设管理
28
45
系统运维管理
41
62
合计
/
175
290
基本 要求 大类 2.0
技术 要求
等级保护2.0介绍
什么是等级保护?
网络安全等级保护是指对国家重要信息、法人和其他组织及公民的 专有信息以及公开信息和存储、传输、处理这些信息的信息系统分 等级实行安全保护,对信息系统中使用的信息安全产品实行按等级 管理,对信息系统中发生的信息安全事件分等级响应、处置。
等级保护的划分
第一级 信息系统受到破坏后,会对公民、法人和其他组织 的合法权益造成损害,但不损害国家安全、社会秩序和公 共利益

网络安全等级保护2.0解读 PPT精品课件

➢ 等保2.0 :《网络安全等级保护条例》第十八条规定,第 二级以上网络的运营者应当在安全保护等级确认后10个工 作日内,到县级以上公安机关备案 。
安全通信网络
安全建设
安全区域边界
安全计算环境
安全管理中心
测评周期的变化
➢ 等保1.0 :三级系统每年至少进行一次等级测评, 四级系统每半年至少进行一次等级测评。
网络安全等级保护2.0解读
网络安全等级保护相关法律法规
等级保护2.0措施进一步完善
➢ 等级保护2.0沿等用级了等保保护1.02的.0五措个规施定进动作一: 定步级完、备善案、
建设整改、等级测评和监督检查(《信息安全等级保护 管理办法》 公通字[2007]43号)规定的等级保护工作)。 ➢ 增加了风险评估、安全监测、通报预警、案(事)件调 查、数据防护、灾难备份、应急处置、自主可控、供应 链安全、效果评价、综合考核等内容,充分体现了变被 动防护为主动防护,变静态防护为动态防护,变单点防 护为整体防控的核心思想。
等级保护2.0定级流程
定级标准及对象的变化
➢ 1.标准的变化
✓ 1.0 《信息系统安全等级保护等级指南》(GB/T 22240-2008) ✓ 2.0 《网络安全等级保护等级指南》(GA/T 1389-2017)
➢ 2.等级保护对象的演变
1.0定级对象 ✓ 信息系统
2.0等级保护对象 ✓ 基础信息网络 ✓ 信息系统(如工业控制系统、云计算平
等级保护2.0工作流程
定级流程的变化
➢ 等保1.0 :自主定级 ➢ 等保2.0:《网络安全等级保护条例》
✓ 网络定级应按照网络运营者拟定网络等级、专家评审、主管部分核 准、公安机关审核的流程进行。
✓ 对拟定为第二级以上的网络,其运营者应当组织专家评审;有行业 主管部门的,应当在评审后报请主管部门核准。

网络安全等级保护2.0解读 PPT精品课件


网络安全等级保护2.0高风险指引
序号 层面
1
2 3
4
安全
计算
环境
5
6 7
8
控制点
控制项
对应案例
身份鉴别
a)应对登录的用户进行身份标识和鉴别, 设备存在弱口令、应用系统
身份标识具有唯一性,身份鉴别信息具有 口令策略缺失、应用系统存
复杂度要求并定期更换;
在弱口令
b)应具有登录失败处理功能,应配置并启 用结束会话、限制非法登录次数和当登录 连接超时自动退出等相关措施;
设备未开启安全审计措施、 应用系统无安全审计措施
适用范围
所有系统 3级及以上系统
所有系统 3级及以上系统
所有系统 所有系统 所有系统 3级及以上系统
等保2.0测评结论谢谢!ຫໍສະໝຸດ 应用系统无登录失败 处理机制
c)当进行远程管理时,应采取必要措施防 止鉴别信息在网络传输过程中被窃
设备鉴别信息无防窃取措施
d)应采用口令、密码技术、生物技术等两 种或两种以上组合的鉴别技术对用户进行 身份鉴别,且其中一种鉴别技术至少应使 用密码技术来实现。
设备未实现双因素认证、互 联网可访问系统未实现双因
安全通用要求和安全扩展要求
等级保护2.0为1+N模式,1为通用要求,适用各个行业和各个领域,N指 具体的一个领域内的扩展要求,目前N为5,分别是云计算、移动互联、物联 网、工业控制、大数据。未来随着技术的发展,N会不断扩展。
分类结构的变化
安全通用要求要求项变化
充分强化可信计算技术使用的要求
➢ 增加:从一级到四级均在“安全通信网络”、“安全区域边界” 和“安全计算环境”中增加了“可信验证”控制点(和GB/T 25070设计要求保持一致)。
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
• 第四级,等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安 全造成严重损害;
• 第五级,等级保护对象受到破坏后,会对国家安全造成特别严重损害。
确定保护对象定级
受侵害的客体
一般损害
公民、法人和其他组织的合 法权益
社会秩序、公共利益
第一级 第二级
国ห้องสมุดไป่ตู้安全
第三级
对客体的侵害程度 严重损害 第二级 第三级 第四级
再会
网络安全等级保护定级流程
目录
必知的专业术语 等级分类 定级对象确定 定级流程 定级变更
参考附件
对客体造成侵害的客观外在表现,包括侵 害方式和侵害结果等。
客观方面
网络安全等级保护工作的作用对象,主要包括基础信息网络、信息系统 (例如工业控制系统、云计算平台、物联网、使用移动互联技术的信息系 统以及其他信息系统)和大数据等。
等级保护对象
基础信息网络
为信息流通、信息系统运行等起基础支撑 作用的信息网络,包括电信网、广播电视 传输网、互联网、业务专网等网络设备设 施。
客体
受法律保护的、等级保护对象受到破坏时所 侵害的社会关系
信息系统
由计算机和类计算机的软硬件及其相关的和 配套的设备、设施构成的,按照一定的应用 目标和规则进行信息处理或过程控制的资源 集合
等级分类
• 第一级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害 国家安全、社会秩序和公共利益;
• 第二级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者 对社会秩序和公共利益造成损害,但不损害国家安全;
• 第三级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生特别严重损害, 或者对社会秩序和公共利益造成严重损害,或者对国家安全造成损害;
特别严重损害 第三级 第四级 第五级
最终确定的等级 6
公安机关备案 审查
5
1 确定定级对象
定级流程
4 主管部门审核
初步确定等级
2
3
专家评审
等级变更 等级变更
当等级保护对象所处理的信息、业务状态和 系统服务范围发生变化,可能导致业务信息 安全或系统服务安全受到破坏后的受侵害客 体和对客体的侵害程度有较大的变化时,应 根据本标准要求重新确定定级对象和安全保 护等级。