当前位置:文档之家 › 信息安全等级保护标准体系概述

信息安全等级保护标准体系概述

  • 格式:pptx
  • 大小:669.78 KB
  • 文档页数:97

下载文档原格式

  / 97

合集下载

等级保护2.0 三级 概述

等级保护2.0 三级 概述

等级保护2.0 三级概述等级保护2.0(等保2.0)是我国信息安全保障的基本制度,其三级标准是在法律法规的基础上,对信息系统安全、物理和环境安全、网络通信安全、设备和计算安全、应用和数据安全、安全管理、评估与审计、应急响应等方面提出的具体要求。

1. 法律法规基础:等保2.0三级依据国家法律法规和标准,对信息系统的合规性进行严格要求,确保信息系统符合法律法规的要求。

2. 信息系统安全:等保2.0三级对信息系统的安全性提出更高要求,包括信息的保密性、完整性和可用性等。

3. 物理和环境安全:等保2.0三级强调物理和环境安全,对物理访问控制、物理安全监测等提出具体要求。

4. 网络通信安全:等保2.0三级在网络通信安全方面要求建立完善的网络安全体系,包括网络隔离、入侵检测、漏洞扫描等。

5. 设备和计算安全:等保2.0三级对设备和计算安全提出要求,包括防病毒、身份认证、访问控制等。

6. 应用和数据安全:等保2.0三级要求应用和数据安全得到保障,包括数据加密、数据备份等。

7. 安全管理:等保2.0三级强调安全管理,要求建立完善的安全管理体系,包括安全组织、安全策略、安全制度等。

8. 评估与审计:等保2.0三级要求对信息系统进行定期的评估和审计,确保信息系统的安全性。

9. 应急响应:等保2.0三级要求建立完善的应急响应机制,包括应急预案、应急演练等。

10. 技术要求符合性验证:等保2.0三级还要求对各项安全技术要求进行符合性验证,确保各项安全措施的有效性。

11. 人员安全:等保2.0三级强调人员安全的重要性,包括对员工的安全培训、岗位管理以及权限管理等方面提出了具体要求。

12. 供应链安全:等保2.0三级要求对供应链安全进行管理,包括对供应商的评估、管理以及控制等方面提出了具体要求。

通过满足等级保护2.0三级的要求,组织可以有效地提高信息系统的安全防护能力,减少安全风险,保障业务的正常运行。

信息安全等级保护体系解读

信息安全等级保护体系解读
信息系统安全等级保护定级指南
信息系统安全等级保护基础要求定级细则
信息系 统安全 等级保 护测评 过程指 南
信息
实 信息安全等级保护 法
状 安全建设整改工作 指



安全要求

信息系统安全等级保护基础要求行业细则
信息系统安全等级保护基础要求
信息系 统安全 等级保 护实施 指南
第10页
信息安全等级保护—定级
定义
由信息系统运行单位确定信息系统安全保护等级。
1
2
3
由运行单位业务部 门确定实施信息安 全等级保护信息系 统。
参考定级标准和流 程取得信息等级安 全保护等级信息。
最终形成信息系统 安全保护等级确认 汇报。
信息安全等级保护体系解读
第11页
定级参考信息
业务信息安全保护等级矩阵表
边界防护
安全审计
防雷/火/水/潮
访问控制
入侵防范
防静电
入侵防范
恶意代码防范
温湿度控制
恶意代码防范
资源控制
电力供应
安全设计
电磁防护
集中管控
信息安全等级保护体系解读
应用和数据安全
身份鉴别
访问控制
安全审计
软件容错
资源控制
数据完整性
数据保密性
数据备份恢复
剩余信息保护
个人信息保护
第20页
经典等级保护安全技术方案
《关于加 强国家电 子政务工 程建设项 目信息安 全风险评 定工作通 知》(发 改高技 []2071号)
《关于推 进信息安 全等级保 护测评体 系建设和 开展等级 测评工作 通知》 (公信安 303号文)
关于印发 《信息系 统安全等 级测评汇 报模版 (试行)》 通知(公 信安 []1487号)

等保标准指南

等保标准指南

等保标准指南一、等保标准概述等保标准是指信息安全等级保护标准,是我国为了加强信息安全保障,规范信息安全等级保护工作而制定的一系列规范性文件。

等保标准旨在指导信息系统运营、管理、设计和建设等方面的工作,以确保信息系统的安全可靠运行。

等保标准分为三个层级:基本要求、安全防护技术措施和安全管理措施。

其中,基本要求是对信息系统进行等级保护的基础,包括对信息系统的物理安全、网络安全、主机安全、应用安全和数据安全等方面的要求。

安全防护技术措施和管理措施则是针对基本要求的具体实施方法,包括技术手段和管理手段两方面。

二、等保标准的制定与实施等保标准的制定过程严格遵循国家标准化程序,通过相关部门的联合制定,确保了标准的科学性、实用性和可操作性。

在制定过程中,充分听取了信息安全领域的专家、企业和政府部门的意见,确保了标准的全面性和权威性。

等保标准的实施与监管方面,各级信息安全监管部门负责监督、指导和管理信息系统运营者的等保工作。

同时,通过定期审查、测评和检查等方式,确保信息系统的安全性能达到等保要求。

三、等保标准的主要内容等保标准主要包括以下三个方面:1.等级保护基本要求:包括对信息系统的物理安全、网络安全、主机安全、应用安全和数据安全等方面的基础要求。

2.等级保护安全防护技术措施:针对基本要求,提出了具体的安全防护技术措施,如防火墙、入侵检测、访问控制等。

3.等级保护安全管理措施:从管理角度出发,提出了确保信息安全的管理措施,如安全管理制度、安全培训、安全审计等。

四、等保标准的实际应用等保标准在实际应用中具有很强的指导意义,以下举例说明:1.信息系统等级保护实践案例:通过实际案例分析,展示了如何依据等保标准对信息系统进行安全防护和管理的实践过程。

2.等保标准在信息安全风险评估中的应用:等保标准可为信息安全风险评估提供依据和参考,帮助企业和政府部门识别潜在安全风险,制定相应的风险防范措施。

五、等保标准的意义与展望等保标准在我国信息安全保障体系中具有重要地位,对于推动我国信息安全事业发展具有重要意义。

信息安全等级保护制度的主要内容和工作要求

信息安全等级保护制度的主要内容和工作要求

码部门监管,造成信息系统出现重大安全事故的,要追 究单位和人员的责任。
二、等级保护政策体系和标准体系
(一)信息安全等级保护政策体系
近几年,公安部根据国务院147号令的授
权,会同国家保密局、国家密码管理局、发
改委、原国务院信息办出台了一些文件,公
安部和省厅对有些具体工作出台了一些指导 意见和规范,构成了信息安全等级保护政策 体系。 汇集成《信息安全等级保护工作汇 编》供有关单位、部门使用。
信息安全等级保护制度的
主要内容和工作要求


一、信息安全等级保护制度的主要内容 二、信息安全等级保护政策、标准体系 三、等级保护工作的具体内容和工作要求
一、等级保护制度的主要内容
(一)国家为什么要实施信息安全等级保 护制度
1.信息安全形势严峻
◆敌对势力的入侵、攻击、破坏
◆针对基础信息网络和重要信息系统的违法犯 罪持续上升 ◆基础信息网络和重要信息系统安全隐患严重
(三)等级保护制度的地位和作用
是国家信息安全保障工作的基本制度、基
本国策。
是开展信息安全工作的基本办法。 是促进国家信息化、维护国家信息安全 的
根本保障。
一、等级保护制度的主要内容
(四)实施等级保护制度的主要目的
◆明确重点、突出重点、保护重点 ◆有利于同步建设、协调发展。

优化信息安全资源的配置。
一、等级保护制度的主要内容
2、《国家信息化领导小组关于加强信息安全 保障工作的意见》(中办发[2003]27号)规 定:要重点保护基础信息网络和关系国家 安全、经济命脉、社会稳定等方面的重要 信息系统,抓紧建立信息安全等级保护制
度,制定信息安全等级保护的管理办法和

信息安全等级保护制度

信息安全等级保护制度

感谢您的观看
T测技术
通过部署监测设备,实时监测网络 流量和安全事件,及时发现并处置
网络安全威胁。
数据加密技术
通过加密算法对数据进行加密处理 ,保护数据的安全性和完整性。
安全审计技术
通过审计系统对网络流量和安全事 件进行审计,发现并纠正可能存在 的安全问题。
信息安全等级保护制度的应急响应技术
等级划分
根据信息和信息载体的重要性,一般将信息安全等级划分为 五级,分别是一级、二级、三级、四级和五级。每个级别都 有相应的保护要求和措施。
等级保护制度的基本原则
统一规划、分级实施
信息安全等级保护制度要求对信息和信息载体进行统一规划,并 按照分级原则进行实施。
全面覆盖、突出重点
信息安全等级保护制度要求对所有重要信息和信息载体进行全面 覆盖,同时突出重点,对关键信息基础设施实行重点保护。
定义
信息安全等级保护制度是对信息和信息载体按照重要性等级分级别进行保护 的一种工作机制。
重要性
信息安全等级保护制度旨在保障国家关键信息基础设施的安全运行,降低信 息和数据泄露的风险,维护社会稳定和公共利益。
等级保护制度的法规要求
法规依据
信息安全等级保护制度主要依据《中华人民共和国网络安全 法》、《信息安全等级保护管理办法》等法律法规制定。
要点二
实施过程
在信息安全等级保护制度下,大型企 业根据自身业务特点和安全风险评估 结果,将信息系统划分为不同的安全 等级,并制定相应的安全管理制度。 同时,还加强了对合作伙伴的安全管 理和风险控制。
要点三
效果评估
通过信息安全等级保护制度的实施, 大型企业有效地降低了信息安全风险 ,保障了客户信息和资金的安全。同 时,也提高了企业形象和市场竞争力 。

信息系统安全等级保护四级

信息系统安全等级保护四级

信息系统安全等级保护四级信息系统安全等级保护四级是我国信息安全保护体系中的最高级别,也是对重要信息系统进行保护的最高要求。

本文将从四个方面介绍信息系统安全等级保护四级的相关内容。

一、信息系统安全等级保护四级的概述信息系统安全等级保护四级是指对涉密信息系统进行的安全保护,主要面向涉密信息系统领域,包括国家秘密和商业秘密等重要信息。

这一级别的保护要求最高,安全风险最大,需要采取更加严格的安全防护措施。

1. 安全性能要求:信息系统在保密性、完整性、可用性、不可抵赖性等方面都要达到极高水平,确保信息的安全性和可信度。

2. 安全技术要求:采用先进的安全技术手段,包括加密技术、访问控制技术、身份认证技术等,以保证信息在传输和存储过程中的安全。

3. 安全管理要求:建立完善的信息安全管理制度和流程,包括安全策略、安全审计、事件响应等,确保信息系统的安全运行。

4. 安全保密要求:严格遵守国家有关涉密信息保密的法律法规,保护重要信息的机密性,防止信息泄露和非法获取。

5. 安全审计要求:定期对信息系统进行安全审计和评估,发现和解决潜在的安全风险和问题,保障信息系统的持续稳定运行。

三、信息系统安全等级保护四级的应用范围信息系统安全等级保护四级主要适用于国家机关、军队单位、重要基础设施、金融机构、电信运营商等重要行业和领域。

这些领域中的信息系统承载着重要的国家秘密和商业秘密,一旦泄露或遭到攻击,将对国家安全和社会稳定造成严重影响。

四、信息系统安全等级保护四级的意义和挑战信息系统安全等级保护四级的实施,对于保护国家利益、维护社会稳定、促进经济发展具有重要意义。

同时,由于信息技术的快速发展和网络环境的复杂多变,信息系统安全等级保护四级也面临着诸多挑战。

例如,新型网络攻击技术的出现,给信息系统的安全带来了新的威胁;信息系统的复杂性和规模化使得安全管理和保护变得更加困难。

信息系统安全等级保护四级是我国信息安全保护体系中的最高级别,对于保护重要信息系统的安全至关重要。

信息系统安全等级保护标准体系

信息系统安全等级保护标准体系信息系统安全等级保护标准体系是指根据《中华人民共和国网络安全法》和《信息系统安全等级保护管理办法》,结合国家信息安全等级保护标准,对信息系统按照其承载信息的重要性和保密等级,划分为不同的安全等级,并对不同安全等级的信息系统提出相应的安全保护要求和措施的一套标准体系。

信息系统安全等级保护标准体系的建立和实施,对于保障国家重要信息基础设施和关键信息系统的安全运行,维护国家安全和社会稳定,具有重要意义。

首先,信息系统安全等级保护标准体系的建立,能够有力地提高国家信息系统的整体安全水平。

通过对信息系统进行安全等级划分和分类管理,可以根据信息系统承载的信息重要性和保密等级,有针对性地制定相应的安全保护要求和措施,从而有效地提高信息系统的安全性和可靠性。

其次,信息系统安全等级保护标准体系的建立,有利于加强对关键信息基础设施和关键信息系统的保护。

针对国家重要信息基础设施和关键信息系统,可以通过严格的安全等级划分和保护要求,加强对其安全运行的监测和管理,有效地防范和应对各类网络安全威胁和风险,确保其安全稳定运行。

此外,信息系统安全等级保护标准体系的建立,有助于促进信息系统安全保护工作的规范化和标准化。

通过统一的安全等级划分标准和保护要求,可以使各类信息系统的安全保护工作更加规范和标准化,为相关安全管理和技术人员提供明确的指导和依据,提高安全管理工作的科学性和有效性。

总的来说,信息系统安全等级保护标准体系的建立和实施,对于提高信息系统整体安全水平,加强关键信息基础设施和关键信息系统的保护,促进安全保护工作的规范化和标准化,都具有重要意义和价值。

希望各相关单位和部门能够充分重视信息系统安全等级保护标准体系的建设和实施,切实加强对信息系统安全的管理和保护,共同维护国家信息安全和社会稳定。

等保标准体系解析及介绍

• 相同点
• 原则:都基于风险管理和控制,并强调预防措施。
• 体系:ISO 27001是信息安全管理体系标准,而等 保标准体系更注重于网络安全。
• 范围:两个标准都涉及信息安全,特别是技术、管 理和人员方面。
• 不同点
• 内容:ISO 27001更关注信息安全策略、制度和技 术控制,而等保标准体系更强调技术和管理措施的 融合。
与PDCA循环的比较
• 相同点
• 循环:两个标准都采用循环过程模型,通 过计划、执行、检查和行动来促进持续改 进。
• 持续改进:两个标准都强调通过反馈和评估进行 持续改进,以适应不断变化的环境和需求。
• 不同点
• 重点:PDCA循环更注重全面质量管理,而 等保标准体系更关注网络安全风险管理。
• 步骤:PDCA循环包括计划、执行、检查 和行动四个步骤
与其他相关标准的比较
• 相同点
• 最佳实践:它们都提供了最佳实践指南,以帮助组织 采取措施确保信息安全。
• 范围:等保标准体系更专注于网络安全,而其他相 关标准可能涵盖更广泛的领域。
• 网络和信息安全:等保标准体系和其他相关标准都 关注网络和信息安全,以确保信息和系统的完整性 、可用性和保密性。
• 不同点
技术标准主要规定信息系统应具备的安全技术要求, 包括系统安全、数据安全、应用安全等方面。
等保标准体系的作用
01
等保标准体系是信息安全等级保护工作的基础和依据,为各类信息系统提供安 全建设和整改的指导,促进信息系统安全水平的提升。
02
等保标准体系的建立和完善,有利于提高信息系统的安全保障能力,降低信息 安全风险,维护国家网络空间安全。
等保标准体系是依据《中华人民共和国网络安全法》和国家 信息安全等级保护制度建立的,是信息安全保障体系的重要 组成部分。

信息安全等级保护政策体系-


第2部分
信息安全等级保护政策体系和标准体系
5.信息安全等级保护主要标准简要说明
(1)《计算机信息系统安全保护等级划分准则》(GB17859—1999) 1)主要作用 规范和指导计算机信息系统安全保护有关标准的制定; 为安全产品的研究开发提供技术支持; 为监督检查提供依据。 2)主要内容 界定计算机信息系统基本概念; 信息系统安全保护能力五级划分; 从自主访问控制、强制访问控制、标记、身份鉴别、客体重用、审计、数据完整性、隐蔽信道分析、 可信路径、可信恢复等十个方面, 采取逐级增强的方式提出了计算机信息系统的安全保护技术要求。 3)使用说明
统安全管理要求》的有关内容, 在设计建设整改方案时可参考。 按照整体安全的原则, 综合考虑安全保护措施。
第2部分
信息安全等级保护政策体系和标准体系
5.信息安全等级保护主要标准简要说明
(2)《信息系统安全等级保护基本要求》(GB/T22239—2008) 使用说明 业务信息安全类(S 类)——关注的是保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未 授权的修改。 系统服务安全类(A 类)——关注的是保护系统连续正常的运行, 避免因对系统的未授权修改、破坏而 导致系统不可用。 通用安全保护类(G 类)——既关注保护业务信息的安全性, 同时也关注保护系统的连续可用性。
2.信息安全等级保护标准体系
(1)信息安全等级保护相关标准类别 产品类标准 1)操作系统 《操作系统安全技术要求》(GB/T 20272—2006) 《操作系统安全评估准则》(GB/T 20008—2005) 2)数据库 《数据库管理系统安全技术要求》(GB/T 20273—2006) 《数据库管理系统安全评估准则》(GB/T 20009—2005)
安全管理制度评审、人员 安全和系统建设过程管理

信息安全等级保护二级标准

信息安全等级保护二级标准
信息安全等级保护(简称等保)是指根据信息系统对信息的重要性、完整性、可用性等方面的要求,划分不同等级,采取相应的技术、管理和物理安全措施,对信息系统实施等级保护的活动。

信息安全等级保护的二级标准主要包括以下方面:
安全管理制度:建立健全信息安全管理体系,确保信息系统的安全管理规范、程序和制度的合理实施。

安全设计与实现:在信息系统的设计与实施过程中,充分考虑系统的安全性,采取相应的技术手段确保系统的稳定和安全运行。

系统运行维护:对信息系统的运行状态进行监测和维护,及时发现和解决系统运行中的安全问题,确保系统的连续可用性。

身份鉴别与访问控制:确保信息系统对用户的身份鉴别和访问控制具有高效性和严密性,防范未授权访问。

数据保护:采取有效措施对重要数据进行加密、备份和恢复,确保数据的完整性和可用性。

安全审计:建立完善的安全审计机制,对信息系统的操作和事件进行审计,及时发现并纠正存在的问题。

网络安全防护:针对网络通信过程中的安全隐患,采取有效的防护手段,确保信息的机密性和完整性。

应急响应与恢复:建立健全的信息安全应急响应机制,能够及时、有效地应对各类安全事件,保障系统的稳定运行。

外包服务安全管理:在使用外包服务时,确保外包服务商有相应
的信息安全管理体系,加强对外包服务的监督和管理。

安全培训与教育:对系统操作人员和管理人员进行定期的安全培训与教育,提高其安全意识和应对能力。

信息安全等级保护二级标准的实施,有助于提高信息系统的整体安全水平,保障信息的安全性、完整性和可用性。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

标准定位和关系
• 管理办法(43文件)(总要求) • 实施指南(GB/T25058-2010) • 定级指南(GB/T22240-2008) • 基本要求(GB/T22239-2008) • 测评要求 • 建设指南
目录
• 信息安全等级保护制度要干什么 • 信息安全等级保护工作使用的主要标准
• 管理办法 • 实施指南 • 定级指南 • 基本要求 • 测评要求
实施指南特点
• 阶段
• 过程
• 活动
• 子活动
例如: • 信息系统定级
• 信息系统分析
• 系统识别和描绘
• 识别信息系统的基本信息 • 识别信息系统的管理框架 •…
• 信息系统划分
系统定级阶段-实施流程
主要输入
系统立项文档 系统建设文档 系统管理文档
过程 信息系统分析
主要输出
系统总体描述文件 系统详细描述文件
管理办法
• 《管理办法》第十三条:
• 运营、使用单位应当参照《信息安全技术信息系统安全管理要求》 (GB/T20269-2006)、《信息安全技术信息系统安全工程管理要求》 (GB/T20282-2006)、《信息系统安全等级保护基本要求》等管理规范,制 定并落实符合本系统安全保护等级要求的安全管理制度。
信息安全等级保护标准体系概述
目录
• 信息安全等级保护标准体系 • 信息安全等级保护工作使用的主要标准
• 管理办法 • 实施指南 • 定级指南 • 基本要求 • 测评要求
目录
• 信息安全等级保护标准体系 • 信息安全等级保护工作使用的主要标准
• 管理办法 • 实施指南 • 定级指南 • 基本要求 • 测评要求
等级保护标准体系
多年来,在有关部门支持下,在国内有关专 家、企业的共同努力下,全国信息安全标准化技 术委员会和公安部信息系统安全标准化技术委员 会组织制订了信息安全等级保护工作需要的一系 列标准,形成了比较完整的信息安全等级保护标 准体系。汇集成《信息安全等级保护标准汇编》 供有关单位、部门使用。
信息系统物理安全 技术要求
网络基础安全技术 要求
其他技术类标准
管理类
信息系统安全 管理要求
信息系统安全工程 管理要求
其他管理类标准
产品类
操作系统安全技术 要求
数据库管理系统安全技术 要求
网络和终端设备隔离部件 技术要求
其他产品类标准
39
计算机信息系统安全保护等级划分准则(GB17859)
与其他标准的关系
小结-等级保护主要政策和标准
• 《信息安全等级保护管理办法》(公通字[2007]43号,以下简称《管理办法》) • 《计算机信息安全保护等级划分准则》(GB 17859-1999,简称《划分准则》) • 《信息系统安全等级保护实施指南》 GB/T 25058-2010 (简称《实施指南》) • 《信息系统安全保护等级定级指南》(GB/T 22240-2008,简称《定级指南》) • 《信息系统安全等级保护基本要求》(GB/T 22239-2008,简称《基本要求》) • 《信息系统安全等级保护测评要求》(简称《测评要求》) • 《信息系统安全等级保护测评过程指南》 (简称《测评过程指南》)
• 内容完整
综合技术、管理各个方面的要求,安全要求内容考虑全面、 完整,覆盖信息系统生命周期
• 便于使用
• GB17859-1999是基础性标准,《基本要求》17859基础上 的进一步细化和扩展。
• 《定级指南》确定出系统等级以及业务信息安全性等级和业 务服务保证性等级后,需要按照相应等级,根据《基本要求》 选择相应等级的安全保护要求进行系统建设实施。
• 《测评要求》是依据《基本要求》检验系统的各项保护措施 是否达到相应等级的基本要求所规定的保护能力。
系统总体描述文件 系统详细描述文件
安全保护等级确定
系统安全保护等级 定级建议书
目录
• 信息安全等级保护制度要干什么 • 信息安全等级保护工作使用的主要标准
• 管理办法 • 实施指南 • 定级指南 • 基本要求 • 测评要求
定级指南
• 安全保护等级 等级的确定是不依赖于安全保护措施的,具有一定的“客观 性”,即该系统在存在之初便由其自身所实现的使命决定了它的 安全保护等级,而非由“后天”的安全保护措施决定。
<定级指南>标准的结构
• 正文由6个章节构成
• 1. 范围 • 2. 规范性引用文件 • 3. 术语定义 • 4. 定级原理 • 5. 定级方法 • 6. 级别变更
<定级指南>-定级原理
• 五个等级的定义
• 第一级, 信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社 会秩序和公共利益。
实施指南
局部调整
信息系统定级 总体安全规划 安全设计与实施 安全运行维护 信息系统终止
等级变更
实施指南的主要思路
以信息系统安全等级保护建设为主要线索, 定义信息系统等级保护实施的主要阶段和过程 对每个阶段介绍和描述主要的过程和实施活动 对每个活动说明实施主体、主要活动内容和输入输出等
实施指南标准的结构
信息系统安全等级保护实施指南
方法指导
状态分析 信息系统安全等级保
护测评要求 信息系统安全等级保
护测评过程指南
信息系统安全等级保护定级指南
信息系统安全等级保护行业定级细则 安全定级
信息系统安全等 级保护建设整改
基线要求
信息系统安全等级保护基本要求的行业细则
信息系统安全等级保护基本要求
技术类
信息系统通用安全 技术要求
等级保护标准体系
• 从等级保护生命周期看
• 通用/基础标准 • 系统定级用标准 • 安全建设用标准 • 等级测评用标准 • 运行维护用标准等
等级保护主要工作
一是:定级备案 二是:建设整改 三是:等级测评 四是:监督检查
等级保护工作中用到的主要标准
(一)基础 1、《计算机信息系统安全保护等级划分准则》GB17859-1999 2、《信息系统安全等级保护实施指南》GB/T 25058-2010 (二)系统定级环节 3、《信息系统安全保护等级定级指南》GB/T22240-2008 (三)建设整改环节 4、《信息系统安全等级保护基本要求》GB/T22239-2008 (四)等级测评环节 5、《信息系统安全等级保护测评要求》(国标报批稿) 6、《信息系统安全等级保护测评过程指南》(国标报批稿)
在安全建设整改工作中的作用 等级保护有关标准
等级保护标准体系
• 信息安全等级保护标准体系由等级保护工作过程中所需的所有标准组成,整 个标准体系可以从多个角度分析
• 从基本分类角度看
• 基础类标准 • 技术类标准 • 管理类标准
• 从对象角度看
• 基础标准 • 系统标准 • 产品标准 • 安全服务标准 • 安全事件标准等
• 管理办法 • 实施指南 • 定级指南 • 基本要求 • 测评要求
标准背景
• 03年,27号文件进一步明确信息安全等级保护制度 • 04年,66号文件要求“尽快制定、完善法律法规和标准体系” • 编制历程
• 04年10月,接受公安部的标准编制任务 • 05年 6月,完成初稿,广泛征求安全领域专家和行业用户意见; • 05年10月,征求意见稿第一稿,国信办、安标委评审 • 05年11月,征求意见稿第三稿 • 06年 6月,试点工作 • 07年04月,征求意见稿第四稿,安标委专家评审 • 07年05月,形成报批稿 • 08年6月19日,正式发布,08年11月1日正式实施。
损害。 • 第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
<定级指南>-定级原理
受侵害的客体
对客体的侵害程度
一般损害
严重损害 特别严重损害
公民、法人和其他组织的合法权 益
社会秩序、公共利益
第一级 第二级
第二级 第三级
第二级 第四级
国家安全
第三级
第四级
第五级
<定级指南>-定级方法
• 确定定级对象; • 确定业务信息安全受到破坏时所侵害的客体; • 综合评定业务信息安全被破坏对客体的侵害程度; • 得到业务信息安全等级; • 确定系统服务安全受到破坏时所侵害的客体; • 综合评定系统服务安全被破坏对客体的侵害程度; • 得到系统服务安全等级; • 由业务信息安全等级和系统服务安全等级的较高者确定定级对象的安全保护等级。
• 《管理办法》第十条: • 信息系统运营、使用单位应当依据本办法和《信息系统安全
等级保护定级指南》确定信息系统的安全保护等级。有主管 部门的,应当经主管部门审核批准。
管理办法
• 《管理办法》第十二条:
• 在信息系统建设过程中,运营、使用单位应当按照《计算机信息系统安 全保护等级划分准则》(GB17859-1999)、《信息系统安全等级保护基 本要求》等技术标准,参照……等技术标准同步建设符合该等级要求的信 息安全设施。
• 第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序 和公共利益造成损害,但不损害国家安全。
• 第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。 • 第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重
目录
• 信息安全等级保护制度要干什么 • 信息安全等级保护工作使用的主要标准
• 管理办法 • 实施指南 • 定级指南 • 基本要求 • 测评要求
具体做法
定级指南、实施指南 基本要求,定级指南、 实施指南,设计规范、测评要求
基本要求,实施指南、 安全产品标准
监督管理要求、 基 本要求、测评要求
监督管理要求 实施指南
管理办法