当前位置:文档之家 › 信息安全等级保护培训

信息安全等级保护培训

  • 格式:ppt
  • 大小:2.41 MB
  • 文档页数:92

下载文档原格式

  / 92

合集下载

信息安全等级保护培训试题集

信息安全等级保护培训试题集

信息安全等级保护培训试题集一、法律法规一、单选题1.根据《信息安全等级保护管理办法》,(A)负责信息安全等级保护工作的监督、检查、指导。

A.公安机关B.保密工作部门C.密码管理部门2.根据《信息安全等级保护管理办法》,(D)应当依照相关规和标准督促、检查、指导本行业、本部门或本地区信息系统运营、使用单位的信息安全等级保护工作。

A.公安机关B.保密工作部门C.密码管理部门D.信息系统的主管部门3.计算机信息系统安全保护等级根据计算机信息系统在安全、经济建设、社会生活中的_______,计算机信息系统受到破坏后对安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的_______等因素确定。

(B)A.经济价值经济损失B.重要程度危害程度C.经济价值危害程度D.重要程度经济损失4.对拟确定为(D)以上信息系统的,运营、使用单位或者主管部门应当请信息安全保护等级专家评审委员会评审。

A.第一级B.第二级C.第三级D.第四级5.一般来说,二级信息系统,适用于(D)A.乡镇所属信息系统、县级某些单位中不重要的信息系统。

小型个体、私营企业中的信息系统。

中小学中的信息系统。

B.适用于地市级以上机关、企业、事业单位部重要的信息系统;重要领域、重要部门跨省、跨市或全国(省)联网运行的信息系统;跨省或全国联网运行重要信息系统在省、地市的分支系统;各部委官;跨省(市)联接的信息网络等。

C.适用于重要领域、重要部门三级信息系统中的部分重要系统。

例如全国铁路、民航、电力等调度系统,银行、证券、保险、税务、海关等部门中的核心系统。

D.地市级以上机关、企业、事业单位部一般的信息系统。

例如小的局域网,非涉及秘密、敏感信息的办公系统等。

6.信息系统建设完成后,(A)的信息系统的运营使用单位应当选择符合规定的测评机构进行测评合格可投入使用。

A.二级以上B.三级以上C.四级以上D.五级以上7.安全测评报告由(D)报地级以上市公安机关公共信息网络安全监察部门。

等保培训复习资料

等保培训复习资料

等保培训复习资料一、单项选择题1、首次以国家行政法规形式确立了信息安全等级保护制度的法律地位的政策文件是()A、《计算机信息安全保护等级划分准则》B、《信息系统安全等级保护基本要求》C、《中华人民共和国计算机信息系统安全保护条例》D、《信息安全等级保护管理办法》正确答案:C2、从安全保护能力角度,根据安全功能的实现情况,将计算机信息系统安全保护能力划分为五个级别,即:用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级和()。

A、密码验证保护级 B、访问验证保护级 C、系统验证保护级 D、安全验证保护级正确答案:B3、信息安全等级保护工作的首要环节和关键环节是()A、评审B、安全测评C、定级D、整改正确答案:C4、《基本要求》中技术要求分为物理安全、网络安全、主机安全、应用安全、数据安全及其()五个方面A、数据恢复B、系统恢复C、信息恢复D、备份恢复正确答案:D5、安全建设整改无论是安全管理建设整改还是安全技术建设整改,使用的核心标准是( )A、《计算机信息安全保护等级划分准则》B、《信息系统安全等级保护基本要求》C、《中华人民共和国计算机信息系统安全保护条例》D、《信息安全等级保护管理办法》正确答案:B6、系统定级完成后,首要的工作是确定系统的(),也就是系统的保护需求。

A、安全需求B、安全方案设计C、安全性评估D、运行环境正确答案:A7、公安部()负责测评机构的能力评估和培训工作。

A、网络安全保卫局B、信息安全等级保护培训中心C、信息网络安全测评中心D、信息安全等级保护评估中心正确答案:D8、应用安全是指对信息系统涉及到的()进行安全保护。

A、主机系统B、网络系统C、应用系统D、操作系统正确答案:C9、安全建设整改无论是安全管理建设整改还是安全技术建设整改,使用的核心标准是()。

A、《信息系统安全等级保护基本要求》B、《信息系统安全保护等级定级指南》 C、《信息安全等级保护管理办法》 D、《信息安全等级保护安全建设整改工作指南》正确答案:A10、信息安全等级保护的第()级为监督保护级,适用于涉及国家安全、社会秩序、经济建设和公共利益的信息系统,其受到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成较大损害。

国家信息安全等级制度与等级保护公需课

国家信息安全等级制度与等级保护公需课

国家信息安全等级制度与等级保护公需课1. 信息安全意识的重要性在当今数字化社会,信息安全已经成为了必不可少的一部分。

随着互联网的快速发展,我们的生活离不开手机、电脑和其他智能设备,而这些设备无时无刻不在接收和传输着各种信息。

信息安全不仅仅关乎个人隐私,还关系到国家安全、经济安全以及社会稳定。

国家信息安全等级制度和等级保护公需课就显得尤为重要。

2. 国家信息安全等级制度的意义国家信息安全等级制度是为了更好地保护信息系统、网络和信息资源的安全而建立的。

该制度通过对不同信息系统和网络进行等级划分,标准化不同级别的信息系统和网络的安全防护要求,以确保各级信息系统和网络的安全性和稳定性。

这不仅有助于加强信息安全管理,还有助于提高国家信息基础设施的整体安全水平。

3. 国家信息安全等级制度的体系建设国家信息安全等级制度的体系建设包括等级划分、等级保护和等级评定三个方面。

等级划分是按照信息系统或网络的功能、重要性和风险程度将其划分为不同的安全等级。

等级保护是按照信息系统或网络的安全等级要求,采取相应的安全防护措施,确保其安全可靠运行。

等级评定是通过对信息系统或网络的安全性能进行评估,确认其安全等级和安全保护水平。

4. 等级保护公需课的意义和作用等级保护公需课是国家对信息系统和网络进行等级保护的重点领域和重点对象。

它包括政府机关、重要行业部门、关键信息基础设施等领域。

这些领域的信息系统和网络一旦受到破坏或泄露,将给国家安全和社会稳定带来严重的危害。

对这些领域的信息系统和网络进行等级保护,不仅有利于保障国家安全,还有利于促进经济社会发展。

5. 个人观点和理解作为一名信息安全专家,我认为国家信息安全等级制度和等级保护公需课的建设是非常必要的。

这不仅有助于规范信息安全管理,提高信息安全防护能力,还有助于保障国家信息基础设施的安全稳定运行。

在信息化快速发展的今天,我们每个人都应该增强信息安全意识,积极参与信息安全工作,共同为国家信息安全事业做出贡献。

信息安全等级保护培训

信息安全等级保护培训
23
八、定级工作完成后需要开展哪 些工作
一是开展安全建设和整改。 二是开展等级测评。 三是开展自查。
24
九、开展安全等级保护工作依据的主
要标准有哪些
1、基础标准-划分准则(GB17859) 2、基线标准- 《信息系统安全等级保护基本要求》 3、辅助标准-定级指南、实施指南、测评准则 4、目标标准- 《信息系统通用安全技术要求》(GB/T20271) 《网络基础安全技术要求》(GB/T20270) 《操作系统安全技术要求》(GB/T20272) 《数据库管理系统安全技术要求》(GB/T20273) 《终端计算机系统安全等级技术要求》(GA/T671) 《信息系统安全管理要求》(GB/T20269) 《信息系统安全工程管理要求》(GB/T20282) 5、产品标准-防火墙、入侵检测、终端设备隔离部件等
20
第六步,备案
第二级以上信息系统,在安全保护等级确定后 30日内,由其运营、使用单位到所在地设区的市级 以上公安机关办理备案手续。隶属于中央的在京单 位,其跨省或者全国统一联网运行并由主管部门统 一定级的信息系统,由主管部门向公安部办理备案 手续。跨省或者全国统一联网运行的信息系统在各 地运行、应用的分支系统,应当向当地设区的市级 以上公安机关备案。定级工作的结果是以备案完成 为标志。基础信息网络和重要信息系统的定级、备 案工作9月底前完成。
15
安全保护等级的划分
对相应客体的侵害程度
业务信息安全被破坏时所侵害的客

一般损害 严重损害 特别严重损害
公民、法人和其他组织的合法权益 第一级 第二级 第二级
社会秩序、公共利益 国家安全
第二级 第三级
第三级 第四级 第四级 第五级
16
五级监管

万豪培训答案

万豪培训答案

万豪培训答案万豪信息安全与保护培训答案一、单选1、信息安全等级保护工作直接作用的具体的信息与信息系统称为( )A、答体B、客观方面C、等级保护对象D、系统服务正确答案:C2、根据《信息安全等级保护管理办法》,( )应当依照相关规范与标准督促、检查、指导本行业、本部门或本地区信息系统运营、使用单位的信息安全等级保护工作。

A、公安机关B、国家保密工作部门C、国家密码管理部门D、信息系统的主管部门正确答案:D3、对社会秩序、公共利益造成特别严重损害,定义为几级( )A、第一级B、第二级C、第三级D、第四级正确答案:D4、对国家安全造成特别严重损害定义为几级( )A、第二级B、第三级C、第四级D、第五级正确答案:D5、信息系统建设完成后,()的信息系统的运营使用单位应当选择符合国家规定的测评机构进行测评合格方可投入使用。

A、二级及以上B、二级及以上C、网级及以上D、五级正确答家:B6、计算机信息系统实行安全等级保护,安全等级的划分标准与安全等级保护的具体办法,由()合同有关部门制定。

A、教育部B、国防部C、安全部D、公安部正确答案:B7、1999年,我国发布的第一个信息安全等级保护的国家标准GB 17859-1999,提出将信息系统的安全等级划分为个等级,并提出每个级别的安全功能要求。

A、7B、8C、6D、5正确答案:D8、信息系统受到破坏后,会对公民、法人与其她组织的合法权益造成损害,但不损害国家安全、社会秩序与公共利益,在等保定义中应定义为第几级A、第一级B、第二级C、第一级D、第四级正确给案:A9、《信息系统安全等级保护实施指南》将作为实施等级保护的第一项币要内容。

A、安全定级B、安全评估C、安全规划D、安全实施正确答案:A10、安全建设整改无论就是安全管理建设整改还就是安全技术建设整改,使用的与新标准就是()A、《计算机信息安全保护等级划分准则》B、《信息系统安全等级保护基木要求》C、《中华人民共与国计算机信息系统安全保护条例》D、《信息安全等级保护管理办法》正确答案:8。

信息系统安全等级保护培训课件(PPT 36页)

信息系统安全等级保护培训课件(PPT 36页)

区域边界保护
保护计算环境
保护计算环境
实现集中安全管理
落实安全管理措施
三级系统安全管理措施
- 建立全面的安全管理制度,并安排专人负责并监控执行情况; - 建立全面的人员管理体系,制定严格的考核标准 - 建设过程的各项活动都要求进行制度化规范,按照制度要求进行 活动的开展 - 实现严格的保密性管理 - 成立安全运维小组,对安全维护的责任落实到具体的人 - 引入第三方专业安全服务
物理安 • 需要到物理机房实地检查,请提前申请进入机房的相关手续,并协调查看机房管理相关管理记录 全
网络安 • 需要登录网络设备、安全设备检查相关配置及漏洞扫描,请分配可接入的网络端口及地址,提供配置文件
全 主机安 • 需要登录相关主机设备检查相关配置及漏洞扫描,请分配可接入的网络端口及地址 全 应用安 • 请提供应用系统访问地址,以及访问该应用所需的网络地址,帐户名称、口令以及其它鉴别方式所需软硬件设备 全
分级保护系列标准规范
《涉及国家秘密的计算机信息系统分级保 护技术要求》BMB17-2006 《涉及国家秘密计算机信息系统安全保密 方案设计指南》 BMB23-2008 涉密信息系统安全保障建设 《涉及国家秘密计算机信息系统分级保护 指南 管理规范》BMB20-2007 《涉及国家秘密的信息系统分级保护测评 指南》BMB22—2007 《涉及国家秘密计算机信息系统分级保护 管理办法 》国家保密局16号
管理制 • 请提供安全管理制度电子档或纸质版本,以及相关记录文件

1、最灵繁的人也看不见自己的背脊。——非洲 2、最困难的事情就是认识自己。——希腊 3、勇猛、大胆和坚定的决心能够抵得上武器的精良。——达· 芬奇 4、与肝胆人共事,无字句处读书。——周恩来 5、一个人即使已登上顶峰,也仍要自强不息。——罗素· 贝克 6、一切节省,归根到底都归结为时间的节省。——马克思 7、自知之明是最难得的知识。——西班牙 8、勇气通往天堂,怯懦通往地狱。——塞内加 9、有时候读书是一种巧妙地避开思考的方法。——赫尔普斯 10、阅读一切好书如同和过去最杰出的人谈话。——笛卡儿 11、有勇气承担命运这才是英雄好汉。——黑塞 12、只有把抱怨环境的心情,化为上进的力量,才是成功的保证。——罗曼· 罗兰 13、知人者智,自知者明。胜人者有力,自胜者强。——老子 14、意志坚强的人能把世界放在手中像泥块一样任意揉捏。——歌德 15、最具挑战性的挑战莫过于提升自我。——迈克尔· F· 斯特利 16、业余生活要有意义,不要越轨。——华盛顿 17、意志是一个强壮的盲人,倚靠在明眼的跛子肩上。——叔本华 18、最大的挑战和突破在于用人,而用人最大的突破在于信任人。——马云 19、我这个人走得很慢,但是我从不后退。——亚伯拉罕· 林肯 20、要掌握书,莫被书掌握;要为生而读,莫为读而生。——布尔沃 21、要知道对好事的称颂过于夸大,也会招来人们的反感轻蔑和嫉妒。——培根 22、业精于勤,荒于嬉;行成于思,毁于随。——韩愈 23、最大的骄傲于最大的自卑都表示心灵的最软弱无力。——斯宾诺莎 24、知之者不如好之者,好之者不如乐之者。——孔子 25、学习是劳动,是充满思想的劳动。——乌申斯基 26、要使整个人生都过得舒适、愉快,这是不可能的,因为人类必须具备一种能应付逆境的态度。——卢梭 27、越是无能的人,越喜欢挑剔别人的错儿。——爱尔兰 28、意志命运往往背道而驰,决心到最后会全部推倒。——莎士比亚 29、越是没有本领的就越加自命不凡。——邓拓 30、阅读使人充实,会谈使人敏捷,写作使人精确。——培根

信息安全等级保护培训

定义
信息安全等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以 及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护。
背景
随着信息化的发展,信息安全问题日益突出,等级保护制度应运而生,成为保 障国家信息安全的重要手段。
2024/1/30
4
等级保护的意义
01
02
03
保障信息安全
会话管理
对用户会话进行管理和控 制,包括会话超时、会话 中断等处理措施,确保会 话安全。
17
安全审计与监控
安全审计
记录和分析系统安全相关事件,如用 户登录、操作、资源访问等,以便事 后追踪和审计。
日志管理
对系统日志进行统一管理和存储,确 保日志的完整性和可用性,为安全审 计提供数据支持。
实时监控
对系统运行状态、网络流量、安全事 件等进行实时监控,及时发现和处理 潜在的安全威胁。
14
监督检查与持续改进
定期监督检查
持续改进
相关主管部门定期对已备案的信息系统进 行监督检查,确保其安全保护措施的有效 性。
针对监督检查中发现的问题和不足,及时 进行整改和改进,提高信息系统的安全防 护能力。
变更管理
应急响应
对于信息系统的重大变更,如业务调整、 技术升级等,应及时进行安全评估和调整 安全保护措施。
选择具有相应资质的测评机构进行等 级测评。
提交测评申请
向测评机构提交测评申请,并提供相 关材料,如定级报告、安全建设方案 等。
2024/1/30
现场测评
测评机构对信息系统进行现场测评, 包括技术和管理两个方面的检查。
出具测评报告
测评机构根据现场测评结果,出具详 细的测评报告,明确信息系统的安全 保护等级。

信息安全等级保护过程指南培训

版本所有:广州竞远系统网络技术有限公司 技术总监 胡欣
方案编制活动
方案编制活动的目标是整理 测评准备活动中获取的信息 系统相关资料,为现场测评 活动提供最基本的文档和指 导方案。
方案编制活动包括测评对象 确定、测评指标确定、测试 工具接入点确定、测评内容 确定、测评指导书测评指导 书开发及测评方案编制六项 主要任务。
版本所有:广州竞远系统网络技术有限公司 技术总监 胡欣
接入点选择

3 1
版本所有:广州竞远系统网络技术有限公司
技术总监 胡欣
工具和表单准备

测评工具清单
打印的各类表单
版本所有:广州竞远系统网络技术有限公司
技术总监 胡欣
测评准备活动中双方的职责
测评机构职责: a) 组建等级测评项目组。 b) 指出测评委托单位应提供的基本资料。 c) 准备被测系统基本情况调查表格,并提交给测评 委托单位。 d) 向测评委托单位介绍安全测评工作流程和方法。 e) 向测评委托单位说明测评工作可能带来的风险和 规避方法。 f) 了解测评委托单位的信息化建设状况与发展,以 及被测系统的基本情况。 g) 初步分析系统的安全情况。 h) 准备测评工具和文档。
人员访谈 方
文档审查 式
单项测评 结果分析
单元测评 结果判定
整体测评
风险分析
等级测评 结论形成
测评报告 编制
分析与报 告编制阶 段
版本所有:广州竞远系统网络技术有限公司
技术总监 胡欣
等级测评的主要活动


测评准备活动(3个任务) 方案编制活动(6个任务) 现场测评活动(3个任务) 报告编制活动(6个任务)


项目质量管理和控制
过程质量控制管理、变更控制管理、项目风险管理、保密控制管理

《等级保护培训》课件

意义
通过实施等级保护,可以有效地 保障国家安全、社会秩序和公共 利益,维护公民、法人和其他组 织的合法权益。
等级保护的重要性
保障国家安全
等级保护制度能够确保关键信息 基础设施的安全,防止敌对势力 、间谍机构等对国家安全造成威
胁。
维护社会秩序
通过实施等级保护,可以防止网络 犯罪、网络攻击等行为,维护社会 秩序的稳定。
提出了加强宣传教育、开展培训等措施,以提高全社会的等级保护意识和能力。
完善法律法规和标准体系,加强监督检查和评估
提出了完善相关法律法规和标准体系、加强监督检查和评估等措施,以保障等级保护工作 的有效实施。
加强技术研发和创新,提高安全防护能力
提出了加强技术研发和创新、推广新技术应用等措施,以提高安全防护能力和应对新威胁 的能力。
THANKS
谢谢
等级保护标准的实施
等级保护标准的实施需要采取一系列的安全措施和技术手段,包括 物理安全、网络安全、应用安全等方面的防护措施。
等级保护政策
等级保护政策定义
01
等级保护政策是国家为了保障信息安全而制定的一系列政策,
用于规范不同等级的信息系统安全保护工作。
等级保护政策的主要内容
02
包括信息系统定级、备案、安全监测、通报预警等方面的政策
安全体系实施
按照安全体系设计的要求,实施安全设备和安全控制措施。 对实施过程进行监督和检查,确保安全设备和控制措施的有效性和合规性。
安全体系运行与维护
对信息系统的安全体系进行日常运行 和维护,包括安全监控、日志审计、 漏洞扫描等方面的操作。
对发现的安全问题和隐患进行及时处 理和修复,确保信息系统的安全性得 到持续保障。
安全策略制定

信息系统安全等级保护培训证书

信息系统安全等级保护培训证书信息系统安全等级保护培训证书在当今数字化时代,信息安全成为了一个备受关注的话题。

随着网络技术的不断发展,信息系统的安全性保护显得尤为重要。

为了加强信息系统安全保护,许多国家都出台了相应的政策和法规,而信息系统安全等级保护培训证书便是在此背景下应运而生。

1. 信息系统安全等级保护培训证书的重要性信息系统安全等级保护培训证书作为一种专业资质认证,对于相关岗位的人员来说至关重要。

持有这样的证书意味着个人在信息系统安全等级保护方面有着深厚的理论基础和实践经验,能够更好地应对各类安全风险和威胁。

在就业市场上,持证人往往能够获得更多的机会和更高的待遇。

2. 信息系统安全等级保护培训证书的培训内容获得信息系统安全等级保护培训证书需要经历一定的培训和考核。

培训内容主要包括信息系统安全等级保护的基本概念、安全管理、风险评估、安全策略与控制、安全技术、安全事件处理等方面的知识。

通过系统的学习和实践训练,学员能够全面掌握信息系统安全等级保护的理论与实践,为日后的工作打下坚实的基础。

3. 信息系统安全等级保护培训证书的考试要求获得信息系统安全等级保护培训证书需要参加相应的考试。

考试内容包括理论知识的笔试和实际操作能力的考核,考试难度较大。

通过考试的学员将获得权威机构颁发的证书,这不仅是对个人能力的认可,也是对所在单位信息系统安全保护能力的一种保障。

4. 信息系统安全等级保护培训证书的未来发展随着互联网的普及和信息系统的不断发展,信息系统安全等级保护培训证书的重要性将逐渐凸显。

未来,这样的证书将成为企业招聘信息安全人员的标配条件,从业人员群体也会呈现出不断扩大的趋势。

及早获取这样的证书将对个人职业发展产生积极的影响。

总结信息系统安全等级保护培训证书不仅是对从业人员能力的认可,也是对信息系统安全保护的一种保障。

持有此证书的人员将更容易获得就业机会,并且有望在职业发展中获得更好的发展前景。

对于希望从事信息安全相关工作的人员来说,及早获取此证书将是一个明智的选择。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
目录
□等级保护基本知识介绍 □等级保护基本要求的具体介绍 □信息安全等级保护检查问题发现和总结
等级保护基本知识介绍
□等级保护的政策依据 □等级保护的关键环节(流程) □等级保护的现实意义 □等级保护的相关标准 □《基本要求》核心思想解读
等级保护政策依据
✓ 《国家信息化领导小组关于加强信息安全保障工作的意见 》(中办发[2003]27号 )
除外); (三)从事相关检测评估工作两年以上,无违法记录; (四)工作人员仅限于中国公民; (五)法人及主要业务、技术人员无犯罪记录; (六)使用的技术装备、设施应当符合本办法对信息安全产品的要求; (七)具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全
管理制度; (八)对国家安全、社会秩序、公共利益不构成威胁。
应 安网 系 急 全络 统变 预 事安 安更 案 件全 全管 管 处管 管理
备 份 与 恢 复 管
理理 置理 理管理Fra bibliotek构管理制度
信息安全管理基础
人员安全
等级保护基本要求的具体介绍
主要内容
技术要求
□物理安全 □网络安全 □主机安全 □应用安全 □数据安全
管理要求
□安全管理制度 □安全管理机构 □人员安全管理 □系统建设管理 □系统运维管理
各级系统的保护要求差异
一级系统
计划和跟踪(主要制度)
二级系统
计划和跟踪(主要制度)
三级系统
良好定义(管理活动制度化)
四级系统
持续改进(管理活动制度化/及时改进)
构建系统模型_技术模型
应用系统
医疗
教育
科研
管理
主机系统
网络系统 物理环境
Web 服务 Mail 服务 数据库 多媒体平台 中间件 ……
Windows Solaris AIX HP-UX Linux
等级保护现实意义
✓ 确保重点:需要通过国家政策、制度来保障有关 国计民生、大型活动(如奥运、世博)信息系统 的安全。
✓ 适度防护:由于资金投入、人力资源是有限的, 因此要根据不同等级的安全需求进行安全建设与 管理,避免过度投入造成的浪费。
✓ 普及经验:信息安全工作到底怎样做,多数单位 缺乏办法、经验、底数。因此,等级保护吸取了 我国多年信息安全技术、管理成败经验教训,科 学的规范了信息安全工作的开展。
✓ 关于印发《信息安全等级保护管理办法》的通知(公通字 [2007]43号)
等级保护政策依据
中办发[2003]27号文
✓ 明确指出“实行信息安全等级保护”。 “要重点保护基础 信息网络和关系国家安全、经济命脉、社会稳定等方面的 重要信息系统,抓紧建立信息安全等级保护制度,制定信 息安全等级保护的管理办法和技术指南”。
等级保护政策依据
公通字[2004]66号文 进一步明确了信息安全等级保护制度的基本内容:
✓ 一是根据信息和信息系统在国家安全、社会秩序、公共利益、社会生活中的重 要程度;遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他 组织的合法权益的危害程度;针对信息的保密性、完整性和可用性要求及信息 系统必须要达到的基本的安全保护水平等因素,确定信息和信息系统的安全保 护等级,共分五级。
信息系统的定级
各级系统的保护要求差异
一级系统 二级系统 三级系统 四级系统
防护 防护/监测 策略/防护/监测/恢复 策略/防护/监测/恢复/响应
各级系统的保护要求差异
一级系统 二级系统 三级系统 四级系统
通信/边界(基本) 通信/边界/内部(关键设备) 通信/边界/内部(主要设备) 通信/边界/内部/基础设施(所有设备)
公通字[2006]7号文 ✓ 明确了信息安全等级保护的具体要求。 ✓ 为推广和实施信息安全等级保护提供法律保障。
公信安[2007]861号 ✓ 标志着等级保护工作正式推向实施阶段。
大家有疑问的,可以询问和交流
可以互相讨论下,但要小
等级保护政策依据
公通字[2007]43号文 2007.6.22
➢ 明确主管单位: 公安机关负责信息安全等级保护工作的监督、检查
等级保护相关标准
✓ 《计算机信息系统安全保护等级划分准则》(GB17859-1999) ✓ 《信息安全技术网络基础安全技术要求》(GB/T20270-2006) ✓ 《信息安全技术信息系统通用安全技术要求》GB/T20271-2006) ✓ 《信息安全技术操作系统安全技术要求》(GB/T20272-2006) ✓ 《信息安全技术数据库管理系统安全技术要求》(GB/T20273-2006
等级保护政策依据
公通字[2007]43号文 检查周期要求 ➢ 受理备案的公安机关应当对第三级、第四级信息系统的运
营、使用单位的信息安全等级保护工作情况进行检查。 ➢ 对第三级信息系统每年至少检查一次; ➢ 对第四级信息系统每半年至少检查一次。 ➢ 对第五级信息系统,应当由国家指定的专门部门进行检查
物理安全
(六)防水和防潮 ✓ 水管不穿过机房屋顶和活动地板下; ✓ 防止雨水通过机房窗户、屋顶和墙壁渗透; ✓ 防止机房内水蒸气结露和地下积水的转移与渗透; ✓ 对机房进行防水检测和报警。
物理安全
(七)防静电
✓ 防静电地板。
物理安全
(八)温湿度控制 ✓ 应设置温、湿度自动调节设施,使机房温、湿度的变化在
、指导。
国家保密部门负责等保中保密工作的监督、检查、 指导。
国家密码管理部门负责等保中有关密码工作的监督 、检查、指导。
➢ 确定5个等级,但去掉了[2006 7号文]“自主保护 ”、“指导保护”、“监督保护”等称为。
等级保护政策依据
公通字[2007]43号文
五个等级的基本情况
➢ 第一级:运营、使用单位根据国家管理规范、技术标准自 主防护。
……
TCP/IP IPX/SPX SNMP
……
场地 机房 网络布线 设备 存储设备
……
各级系统的保护要求差异
信息安全管理生命周期
建设管理
运维管理
系统定级 方案设计 产品使用 自行开发 系统交付 测试验收 工程实施 软件外包
设 介资 环密
备 质产 境码
恶 意 代 码 防 范 管

管 管管 管管 理 理理 理理
✓ 二是国家通过制定统一的管理规范和技术标准,组织行政机关、公民、法人和 其他组织根据信息和信息系统的不同重要程度开展有针对性的保护工作。国家 对不同安全保护级别的信息和信息系统实行不同强度的监管政策。
✓ 三是国家对信息安全产品的使用实行分等级管理。
✓ 四是信息安全事件实行分等级响应、处置的制度。
等级保护政策依据
➢ 第二级:运营、使用单位根据国家管理规范、技术标准自 主防护。国家有关部门进行指导。
➢ 第三级:自主防护。国家有关部门进行监督、检查。
➢ 第四级:运营、使用单位根据国家管理规范、技术标准和 业务专门需求进行保护,国家有关部门进行强制监督、检 查。
➢ 第五级:(略)。
等级保护政策依据
公通字[2007]43号文 测评周期要求 ➢ 第三级信息系统应当每年至少进行一次等级测评; ➢ 第四级信息系统应当每半年至少进行一次等级测评; ➢ 第五级信息系统应当依据特殊安全需求进行等级测评。 自查周期要求 ➢ 第三级信息系统应当每年至少进行一次自查; ➢ 第四级信息系统应当每半年至少进行一次自查; ➢ 第五级信息系统应当依据特殊安全需求进行自查。 根据测评、自查情况制定整改方案并实施。
设备运行所允许的范围之内(大型的精密空调)
物理安全
(九)电力供应 ✓ 供电线路上配置稳压器和过电压防护设备; ✓ 提供短期的备用电力供应(UPS设备); ✓ 设置并行电力线路为计算机系统供电(2路供电); ✓ 应建立备用供电系统(发电机)。
物理安全
(十)电磁防护 ✓ 电源线和通信线缆应隔离铺设,避免互相干扰;
) ✓ 《信息安全等级保护基本要求》(GB/T22239-2008) ✓ 《信息安全等级保护定级指南》(GB/T22240-2008) ✓ 《信息安全等级保护测评要求》(送审稿) ✓ 《信息安全技术 信息系统等级保护安全设计技术要求》(征求意见)
等级保护核心标准关系的说明
✓ 系统建设:《信息系统安全等级保护定级指南》确定出系统等级以及 业务信息安全性等级和系统服务安全等级后,需要按照相应等级,根 据《信息安全等级保护基本要求》选择相应等级的安全保护要求进行 系统建设实施。
✓ 对关键设备(泄露)和磁介质(损坏)实施电磁屏蔽。
网络安全
网络安全
网络安全
(二)访问控制 ✓ 边界部署访问控制设备(FW) ✓ 数据流控制粒度为端口级; ✓ 实现命令级(ftp、telnet)的控制; ✓ 会话终止(非活跃一定时间); ✓ 限制网络最大流量数及网络连接数; ✓ 重要网段应采取技术手段防止地址欺骗(MAC地址邦定); ✓ 限制具有拨号访问权限的用户数量
✓ 公安部、国家保密局、国家密码管理委员会办公室、国务 院信息化工作办公室联合下发的《关于信息安全等级保护 工作的实施意见》(公通字[2004]66号)
✓ 公安部、国家保密局、国家密码管理局、国务院信息化工 作办公室联合下发的《信息安全等级保护管理办法》(试 行)(公通字[2006]7号)
✓ 《关于开展全国重要信息系统安全等级保护定级工作的通 知》(公信安[2007]861号)
不同级别系统控制点的差异
不同级别系统要求项的差异
物理安全
物理安全
(一)物理位置选择 ✓ 机房防震、防风和防雨
✓ 应避免设在建筑物的高层或地下室,以及用水设备的下层 或隔壁。
物理安全
(二)物理访问控制 ✓ 专人值守 ✓ 申请和审批 ✓ 划分区域进行管理 ✓ 配置电子门禁
物理安全
(三)防盗窃和防破坏 ✓ 设备或主要部件进行固定 ✓ 设置标记(不易去除)。 ✓ 通信线缆铺设铺设在地下或管道中 ✓ 防盗报警