信息安全等级保护标准体系概述.pptx

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,2019/12/13,#,信息安全等级保护,标准体系概述,目录,信息安全等级保护标准体系,信息安全等级保护工作使用的主要标准,管理办法,实施指南,定级指南,基本要求,测评要求,目录,信息安全等级保护标准体系,信息安全等级保护工作使用的主要标准,管理办法,实施指南,定级指南,基本要求,测评要求,等级保护标准体系,多年来，在有关部门支持下，在国内有关专家、企业的共同努力下，全国信息安全标准化技术委员会和公安部信息系统安全标准化技术委员会组织制订了信息安全等级保护工作需要的一系列标准，形成了比较完整的信息安全等级保护标准体系。汇集成,信息安全等级保护标准汇编,供有关单位、部门使用。,在安全建设整改工作中的作用,等级保护有关标准,等级保护标准体系,信息安全等级保护标准体系由等级保护工作过程中所需的所有标准组成，整个标准体系可以从多个角度分析,从基本分类角度看,基础类标准,技术类标准,管理类标准,从对象角度看,基础标准,系统标准,产品标准,安全服务标准,安全事件标准等,等级保护标准体系,从等级保护生命周期看,通用,/,基础标准,系统定级用标准,安全建设用标准,等级测评用标准,运行维护用标准等,等级保护主要工作,一是：定级备案,二是：建设整改,三是：等级测评,四是：监督检查,等级保护工作中用到的主要标准,（一）基础,1,、,计算机信息系统安全保护等级划分准则,GB17859-1999,2,、,信息系统安全等级保护实施指南,GB/T 25058-2010,（二）系统定级环节,3,、,信息系统安全保护等级定级指南,GB/T22240-2008,（三）建设整改环节,4,、,信息系统安全等级保护基本要求,GB/T22239-2008,（四）等级测评环节,5,、,信息系统安全等级保护测评要求,(,国标报批稿,),6,、,信息系统安全等级保护测评过程指南,(,国标报批稿,),小结,-,等级保护主要政策和标准,信息安全等级保护管理办法,（公通字,200743,号，,以下简称,管理办法,）,计算机信息安全保护等级划分准则,（,GB 17859-1999,，,简称,划分准则,）,信息系统安全等级保护实施指南,GB/T 25058-2010,（,简称,实施指南,）,信息系统安全保护等级定级指南,（,GB/T 22240-2008,，,简称,定级指南,）,信息系统安全等级保护基本要求,（,GB/T 22239-2008,，,简称,基本要求,）,信息系统安全等级保护测评要求,（,简称,测评要求,）,信息系统安全等级保护测评过程指南,（,简称,测评过程指南,）,目录,信息安全等级保护制度要干什么,信息安全等级保护工作使用的主要标准,管理办法,实施指南,定级指南,基本要求,测评要求,具体做法,等级确定与备案,自查与等级测评,等级保护运行与管理,基本要求，,实施指南、安全产品标准,定级指南、实施指南,监督管理要求、基本要求、,测评要求,基本要求，,定级指南、,实施指南，,设计规范、,测评要求,安全规划与设计,安全建设与实现,监督管理要求实施指南,标准定位和关系,管理办法,(43,文件,),（总要求）,实施指南（,GB/T25058-2010,）,定级指南（,GB/T22240-2008,）,基本要求（,GB/T22239-2008,）,测评要求,建设指南,目录,信息安全等级保护制度要干什么,信息安全等级保护工作使用的主要标准,管理办法,实施指南,定级指南,基本要求,测评要求,管理办法,管理办法,第八条,:,信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护，国家有关信息安全职能部门对其信息安全等级保护工作进行监督管理。,管理办法,管理办法,第九条,:,信息系统运营、使用单位应当按照,信息系统安全等级保护实施指南,具体实施等级保护工作。,管理办法,管理办法,第十条,:,信息系统运营、使用单位应当依据本办法和,信息系统安全等级保护定级指南,确定信息系统的安全保护等级。有主管部门的，应当经主管部门审核批准。,管理办法,管理办法,第十二条,:,在信息系统建设过程中，运营、使用单位应当,按照,计算机信息系统安全保护等级划分准则,（,GB17859-1999,）、,信息系统安全等级保护基本要求,等技术标准，,参照,等技术标准同步建设符合该等级要求的,信息安全设施,。,管理办法,管理办法,第十三条,:,运营、使用单位应当,参照,信息安全技术信息系统安全管理要求,（,GB/T20269-2006,）、,信息安全技术信息系统安全工程管理要求,（,GB/T20282-2006,）、,信息系统安全等级保护基本要求,等管理规范，制定并落实符合本系统安全保护等级要求的,安全管理制度,。,管理办法,管理办法,第十四条,:,信息系统建设完成后，运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评单位，依据,信息系统安全等级保护测评要求,等技术标准，,定期,对信息系统安全等级状况,开展等级测评,。第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评，第五级信息系统应当依据特殊安全需求进行等级测评。,目录,信息安全等级保护制度要干什么,信息安全等级保护工作使用的主要标准,管理办法,实施指南,定级指南,基本要求,测评要求,实施指南,介绍和描述了实施信息系统等级保护过程中涉及的阶段、过程和需要完成的活动，通过对过程和活动的介绍，使大家了解对信息系统实施等级保护的流程方法，以及不同的角色在不同阶段的作用等。,实施指南,等级变更,局部调整,信息系统定级,总体安全规划,安全设计与实施,安全运行维护,信息系统终止,实施指南的主要思路,以信息系统安全等级保护建设为主要线索，,定义信息系统等级保护实施的主要阶段和过程,对每个阶段介绍和描述主要的过程和实施活动,对每个活动说明实施主体、主要活动内容和输入输出等,实施指南标准的结构,正文由,9,个章节,1,个附录构成,1.,范围,2.,规范性引用文件,3,术语定义,4.,等级保护实施概述,5.,信息系统定级,6.,总体安全规划,7.,安全设计,/,实施,8.,安全运行维护,9.,信息系统终止,附录,A,主要过程及其输出,实施指南中的主要概念,阶段,过程,主要活动,子活动,活动输入,活动输出,实施指南特点,阶段,过程,活动,子活动,例如,:,信息系统定级,信息系统分析,系统识别和描绘,识别信息系统的基本信息,识别信息系统的管理框架,信息系统划分,系统定级阶段,-,实施流程,主要输入,主要输出,过程,系统立项文档,系统建设文档,系统管理文档,信息系统分析,系统总体描述文件,系统详细描述文件,安全保护等级确定,系统总体描述文件,系统详细描述文件,系统安全保护等级定级建议书,目录,信息安全等级保护制度要干什么,信息安全等级保护工作使用的主要标准,管理办法,实施指南,定级指南,基本要求,测评要求,定级指南,安全保护等级,等级的确定是不依赖于安全保护措施的，具有一定的“客观性”，即该系统在存在之初便由其自身所实现的使命决定了它的安全保护等级，而非由“后天”的安全保护措施决定。,标准的结构,正文由,6,个章节构成,1.,范围,2.,规范性引用文件,3.,术语定义,4.,定级原理,5.,定级方法,6.,级别变更,-,定级原理,五个等级的定义,第一级,信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。,第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。,第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。,第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。,第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。,-,定级原理,受侵害的客体,对客体的侵害程度,一般损害,严重损害,特别严重损害,公民、法人和其他组织的合法权益,第一级,第二级,第二级,社会秩序、公共利益,第二级,第三级,第四级,国家安全,第三级,第四级,第五级,-,定级方法,确定定级对象；,确定业务信息安全受到破坏时所侵害的客体；,综合评定业务信息安全被破坏对客体的侵害程度；,得到业务信息安全等级；,确定系统服务安全受到破坏时所侵害的客体；,综合评定系统服务安全被破坏对客体的侵害程度；,得到系统服务安全等级；,由业务信息安全等级和系统服务安全等级的较高者确定定级对象的安全保护等级。,可能的系统级别,第一级,S1A1G1,第二级,S1A2G2,，,S2A2G2,，,S2A1G2,第三级,S1A3G3,，,S2A3G3,，,S3A3G3,，,S3A2G3,，,S3A1G3,第四级,S1A4G4,，,S2A4G4,，,S3A4G4,，,S4A4G4,，,S4A3G4,，,S4A2G4,，,S4A1G4,目录,信息安全等级保护制度要干什么,信息安全等级保护工作使用的主要标准,管理办法,实施指南,定级指南,基本要求,测评要求,37,标准背景,03,年，,27,号文件,进一步明确信息安全等级保护制度,04,年，,66,号文件,要求“尽快制定、完善法律法规和标准体系”,编制历程,04,年,10,月，接受公安部的标准编制任务,05,年,6,月，完成初稿，广泛征求安全领域专家和行业用户意见；,05,年,10,月，征求意见稿第一稿，国信办、安标委评审,05,年,11,月，征求意见稿第三稿,06,年,6,月，试点工作,07,年,04,月，征求意见稿第四稿，安标委专家评审,07,年,05,月，形成报批稿,08,年,6,月,19,日，正式发布，,08,年,11,月,1,日正式实施。,38,标准定位,GB 17859-1999,的细化和发展,吸收安全机制并扩展到不同层面,增加安全管理方面的内容,借鉴,PDR,、,CMM,、,17799,关注可操作性,最佳实践,当前技术的发展,机制,要求（目标,/,要求）,信息系统安全等级保护基本要求,计算机信息系统安全保护等级划分准则（,GB17859,）,信息系统通用安全,技术要求,信息系统物理安全,技术要求,技术类,其他技术类标准,信息系统安全,管理要求,信息系统安全工程,管理要求,其他管理类标准,信息系统安全等级保护定级指南,信息系统安全等级保护基本要求的行业细则,信息系统安全等级保护测评过程指南,信息系统安全等级保护测评要求,信息系统等级保护安全设计技术要求,管理类,产品类,数据库管理系统安全技术要求,其他产品类标准,信息系统安全等级保护行业定级细则,操作系统安全技术,要求,信息系统安全等级保护建设整改,网络基础安全技术,要求,网络和终端设备隔离部件技术要求,安全定级,基线要求,状态分析,方法指导,信息系统安全等级保护实施指南,等级保护有关标准,在安全建设整改工作中的作用,39,40,与其他标准的关系,GB17859-1999,是基础性标准，,基本要求,17859,基础上的进一步细化和扩展。,定级指南,确定出系统等级以及业务信息安全性等级和业务服务保证性等级后，需要按照相应等级，根据,基本要求,选择相应等级的安全保护要求进行系统建设实施。,测评要求,是依据,基本要求,检验系统的各项保护措施是否达到相应等级的基本要求所规定的保护能力。,41,标准适用范围,用户范围,信息系统的主管部门及运营使用单位,测评机构,安全服务机构（系统集成商，软件开发商）,信息安全监管职能部门,适用环节,需求分析,方案设计、系统建设与验收,运行维护、等级测评、自查,标准的编制思路,门槛合理,对每个级别的信息系统安全要求设置合理，按照基本要求建设后，确实,达到期望,的安全保护能力,内容完整,综合,技术,、,管理,各个方面的要求，安全要求内容考虑全面、完整，覆盖信息系统,生命周期,便于使用,安全要求,分类方式合理,，便于安全保护、检测评估、监督检查实施各方的灵活使用,42,43,描述模型,不同级别信息系统,不同级别安全威胁,不同级别能力目标,不同级别基本要求,系统重要程度不同,应对,44,基本安全保护能力,对抗能力和恢复能力共同构成了信息系统的安全保护能力。,安全保护能力主要表现为信息系统应对威胁的能力，称为对抗能力，但当信息系统无法阻挡威胁对自身的破坏时，信息系统的恢复能力使系统在一定时间内恢复到原有状态，从而降低负面影响。,45,能力目标,第一级安全保护能力,应具有能够对抗来自,个人,的、拥有很少资源（如利用公开可获取的工具等）的威胁源发起的恶意攻击、,一般的,自然灾难（灾难发生的强度弱、持续时间很短、系统局部范围等）、以及其他相当危害程度的威胁所造成的,关键资源,损害，并在威胁发生后，能够,恢复部分功能,。,46,能力目标,第二级安全保护能力,应具有能够对抗来自,小型组织,的（如自发的三两人组成的黑客组织）、拥有少量资源（如个别人员能力、公开可获或特定开发的工具等）的威胁源发起的恶意攻击、一般的自然灾难（灾难发生的强度一般、持续时间短、覆盖范围小（局部性）等）、以及其他相当危害程度（无意失误、设备故障等）的威胁所造成的,重要资源,损害，能够,发现重要的,安全漏洞和安全事件，在系统遭到损害后，能够在,一段时间内恢复部分功能,。,47,能力目标,第三级安全保护能力,应具有能够对抗来自,大型的、有组织的团体,（如一个商业情报组织或犯罪组织等），拥有较为丰富资源（包括人员能力、计算能力等）的威胁源发起的恶意攻击、,较为严重的,自然灾难（灾难发生的强度较大、持续时间较长、覆盖范围较广（地区性）等）以及其他相当危害程度（,内部人员的恶意威胁,、设备的较严重故障等）威胁的能力，并在威胁发生后，能够较快,恢复绝大部分功能,。,48,能力目标,第四级安全保护能力,应具有能够对抗来自,国家级别的、敌对组织的,、拥有丰富资源的威胁源发起的恶意攻击、,严重的,自然灾难（灾难发生的强度大、持续时间长、覆盖范围广（多地区性）等）以及其他相当危害程度（内部人员的恶意威胁、设备的严重故障等）威胁的能力，并在威胁发生后，能够,迅速恢复所有功能,。,49,描述模型,一级系统,二级系统,三级系统,防护,防护,/,检测,策略,/,防护,/,检测,/,恢复,策略,/,防护,/,检测,/,恢复,/,响应,四级系统,技术要求特点,50,描述模型,一级系统,二级系统,三级系统,四级系统,管理要求特点,一般执行（部分活动建制度）,计划实施（主要过程建制度）,统一策略（管理制度体系化）,持续改进（管理制度体系化,/,验证,/,改进）,51,描述模型,一级系统,二级系统,三级系统,四级系统,覆盖范围特点,通信,/,边界（关键资源）,通信,/,边界,/,内部（重要设备）,通信,/,边界,/,内部（主要设备）,通信,/,边界,/,内部,/,基础设施（所有设备）,描述结构,52,某级系统,类,技术要求,管理要求,基本要求,类,控制点,要求项,控制点,要求项,安全类,53,物理安全,技术要求,管理要求,基本要求,网络安全,主机安全,应用安全,数据安全及备份恢复,安全管理制度,安全管理机构,人员安全管理,系统建设管理,系统运维管理,类,示例,7,第三级基本要求,7.1,技术要求,7.1.1,物理安全,7.1.1.1,物理位置的选择,本项要求包括,a),机房和办公场地应选择在具有防震、防 风和防雨等能力的建筑内,b),机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁。,。,54,类,要求项,控制点,控制点标注,业务信息安全相关要求（标记为,S,）,系统服务保证相关要求（标记为,A,）,通用安全保护要求（标记为,G,）,技术要求（,3,种标注）,管理要求（统属,G,）,55,描述模型,业务信息安全相关要求（,S,）,电磁防护,访问控制,数据完整性,数据保密性,系统服务保证相关要求（,A,）,电力供应,软件容错,备份与恢复,资源控制,通用安全保护要求（,G,）,管理要求和大部分技术要求,56,逐级增强的特点,控制点增加,要求项增加,要求项增强,范围增大,要求细化,要求粒度细化,逐级增强的特点,-,控制点增加,58,三级基本要求：,在二级基本要求的基础上，技术方面，在控制点上增加了,网络恶意代码防范、剩余信息保护、软件容错、抗抵赖,等。管理方面，增加了,系统备案、安全测评、监控管理和安全管理中心,等控制点。,四级基本要求,：在三级基本要求的基础上，技术方面，在,系统和应用层面,控制点上增加了,安全标记、可信路径,，,不同级别系统控制点的差异汇总,安全要求类,类,/,层面,一级,二级,三级,四级,技术要求,物理安全,7,10,10,10,网络安全,3,6,7,7,主机安全,4,6,7,9,应用安全,4,7,9,11,数据安全及备份恢复,2,3,3,3,管理要求,安全管理制度,2,3,3,3,安全管理机构,4,5,5,5,人员安全管理,4,5,5,5,系统建设管理,9,9,11,11,系统运维管理,9,12,13,13,合计,/,48,66,73,77,级差,/,/,18,7,4,59,逐级增强的特点,-,要求项增加,60,要求项增多，,如，对“,身份鉴别,”，一级要求“进行身份标识和鉴别”，二级增加要求“,口令复杂度、登录失败保护等,”；而三级则要求“采用,两种或两种以上组合的鉴别技术,”。,项目增加，要求增强。,不同级别系统要求项的差异汇总,安全要求,类,/,层面,一级,二级,三级,四级,技术要求,物理安全,9,19,32,33,网络安全,9,18,33,32,主机安全,6,19,32,36,应用安全,7,19,31,36,数据安全及备份恢复,2,4,8,11,管理要求,安全管理制度,3,7,11,14,安全管理机构,4,9,20,20,人员安全管理,7,11,16,18,系统建设管理,20,28,45,48,系统运维管理,18,41,62,70,合计,/,85,175,290,318,级差,/,/,90,115,28,61,逐级增强的特点,-,要求项增强,62,范围增大,，如，对物理安全的“防静电”，二级只要求“,关键设备应采用必要的接地防静电措施,”；而三级则在对象的范围上发生了变化，为“,主要设备,应采用必要的接地防静电措施”。范围的扩大，表明了该要求项强度的增强。,。,逐级增强的特点,-,要求项增强,63,要求细化,：如，人员安全管理中的“安全意识教育和培训”，二级要求“,应制定安全教育和培训计划，对信息安全基础知识、岗位操作规程等进行培训,”，而三级在对培训计划进行了进一步的细化，为“,应,针对不同岗位,制定不同培训计划,”，培训计划有了针对性，更符合各个岗位人员的实际需要。,逐级增强的特点,-,要求项增强,64,粒度细化：,如，网络安全中的“访问控制”，二级要求“,控制粒度为网段级,”，而三级要求则将控制粒度细化，为“,控制粒度为端口级,”。由“网段级”到“端口级”，粒度上的细化，同样也增强了要求的强度。,基本要求,文档结构,由,9,个章节,2,个附录构成,1.,适用范围,2.,规范性引用文件,3.,术语定义,4.,信息系统安全等级保护概述,5.6.7.8.9,五个等级的基本要求,附录,A,关于信息系统整体安全保护能力的要求,附录,B,基本安全要求的选择和使用,65,各级的要求,-,物理安全,66,物理位置选择,物理安全,物理访问控制,防盗窃和防破坏,防,雷,击,防火,防,水,和,防,潮,电力供应,电磁防护,防,静,电,温,湿,度,控,制,等级要求,-,物理安全,67,物理安全要求主要由机房（包括主、辅机房、介质存放间等）所部署的设备设施和采取的安全技术措施两方面提供的功能来满足。,部分物理安全要求涉及到终端所在的办公场地。,控制点,一级,二级,三级,四级,物理位置的选择,*,*,*,物理访问控制,*,*,*,*,防盗窃和防破坏,*,*,*,*,防雷击,*,*,*,*,防火,*,*,*,*,防水和防潮,*,*,*,*,防静电,*,*,*,温湿度控制,*,*,*,*,电力供应,*,*,*,*,电磁防护,*,*,*,合计,7,10,10,10,68,各级的要求,-,网络安全,69,网络安全,结构安全,网络访问控制,网络安全审计,边界完整性检查,网络入侵检测,恶意代码防护,网络设备防护,等级要求,-,网络安全,70,网络安全要求中对广域网络、城域网络等通信网络的要求由构成通信网络的网络设备、安全设备等的网络管理机制提供的功能来满足。,对局域网安全的要求主要通过采用、防火墙、入侵检测系统、恶意代码防范系统、安全管理中心等设备提供的安全功能来满足。,控制点,一级,二级,三级,四级,结构安全（,G,）,*,*,*,*,访问控制（,G,）,*,*,*,*,安全审计（,G,）,*,*,*,边界完整性检查（,S,）,*,*,*,入侵防范（,G,）,*,*,*,恶意代码防范（,G,）,*,*,网络设备防护（,G,）,*,*,*,*,合计,3,6,7,7,71,各级的要求,-,主机安全,72,主机安全,身份鉴别,访问控制,可信路径,安全审计,剩余信息保护,入侵防范,恶意代码防范,资源控制,安全标记,等级要求,-,主机安全,73,主机包括应用服务器、数据库服务器、安全软件所安装的服务器及管理终端、业务终端、办公终端等。,主机安全要求通过操作系统、数据库管理系统及其他安全软件（包括防病毒、防入侵、木马检测等软件）实现的安全功能来满足。,控制点,一级,二级,三级,四级,身份鉴别（,S,）,*,*,*,*,安全标记（,S,）,*,访问控制（,S,）,*,*,*,*,可信路径（,S,）,*,安全审计（,G,）,*,*,*,剩余信息保护（,S,）,*,*,入侵防范（,G,）,*,*,*,*,恶意代码防范（,G,）,*,*,*,*,资源控制（,A,）,*,*,*,合计,4,6,7,9,74,各级的要求,-,应用安全,75,应用安全,身份鉴别,访问控制,通信完整性,通信保密性,安全审计,剩余信息保护,抗抵赖,软件容错,资源控制,代码安全,等级要求,-,应用安全,76,应用安全要求通过应用系统、应用平台系统等实现的安全功能来满足。,如果应用系统是多层结构的，一般不同层的应用都需要实现同样强度的身份鉴别、访问控制、安全审计、剩余信息保护及资源控制等。,通信保密性、完整性一般在一个层面实现。,各级的要求,-,数据安全及备份和恢复,77,数据安全,数据完整性,数据保密性,备份和恢复,控制点,一级,二级,三级,四级,数据完整性,*,*,*,*,数据保密性,*,*,*,备份和恢复,*,*,*,*,合计,2,3,3,3,78,各级的要求,-,安全管理,79,管理要求,安全管理机构,安全管理制度,人员安全管理,系统建设管理,系统运维管理,各级的要求,-,安全管理机构,80,岗位设置,安全管理机构,人员配备,授权和审批,沟通与合作,审核和检查,控制点,一级,二级,三级,四级,岗位设置,*,*,*,*,人员配备,*,*,*,*,授权和审批,*,*,*,*,沟通和合作,*,*,*,*,审核和检查,*,*,*,合计,4,5,5,5,81,各级的要求,-,安全管理制度,82,管理制度,安全管理制度,制定和发布,评审和修订,控制点,一级,二级,三级,四级,管理制度,*,*,*,*,制定和发布,*,*,*,*,评审和修订,*,*,*,合计,2,3,3,3,83,各级的要求,-,人员安全管理,84,人员安全管理,人员录用,人员离岗,人员考核,安全意识教育和培训,外部人员访问管理,85,控制点,一级,二级,三级,四级,人员录用,*,*,*,*,人员离岗,*,*,*,*,人员考核,*,*,*,安全意识教育和培训,*,*,*,*,外部人员访问管理,*,*,*,*,合计,4,5,5,5,各级的要求,-,系统建设管理,86,系统建设管理,系统定级,安全方案设计,产品采购,自行软件开发,外包软件开发,工程实施,测试验收,系统交付,安全服务商选择,系统备案,等级测评,控制点,一级,二级,三级,四级,系统定级,*,*,*,*,安全方案设计,*,*,*,*,产品采购和使用,*,*,*,*,自行软件开发,*,*,*,*,外包软件开发,*,*,*,*,工程实施,*,*,*,*,测试验收,*,*,*,*,系统交付,*,*,*,*,系统备案,*,*,*,等级测评,*,*,安全服务商选择,*,*,*,*,合计,9,9,11,11,87,各级的要求,-,系统运维管理,88,系统运维管理,环境管理,资产管理,设备管理,介质管理,监控管理和管理中,网络安全管理,系统安全管理,恶意代码防范管理,变更管理,密码管理,备份和恢复管理,安全事件处置,应急预案管理,控制点,一级,二级,三级,四级,环境管理,*,*,*,*,资产管理,*,*,*,*,介质管理,*,*,*,*,设备管理,*,*,*,*,监控管理和安全管理中心,*,*,网络安全管理,*,*,*,*,系统安全管理,*,*,*,*,恶意代码防范管理,*,*,*,*,密码管理,*,*,*,变更管理,*,*,*,备份与恢复管理,*,*,*,*,安全事件处置,*,*,*,*,应急预案管理,*,*,*,合计,10,12,13,13,89,目录,信息安全等级保护制度要干什么,信息安全等级保护工作使用的主要标准,管理办法,实施指南,定级指南,基本要求,测评要求,测评要求,在内容上，与,基本要求,一一对应，直接把,基本要求,的要求项作为,测评要求,的测评指标。,在方法上，涵盖访谈、检查和测试三种基本方法，充分考虑方法实施的可行性。,在强度上，与安全等级相适应。,在结果上，单点测试，整体评价相结合,主要内容,主体由,10,个章节构成,1.,范围,2.,规范性引用文件,3.,术语、定义和符号,4.,安全测评概述,5.,第,1,级安全控制测评,6.,第,2,级安全控制测评,7.,第,3,级安全控制测评,8.,第,4,级安全控制测评,9.,第,5,级安全控制测评,10.,系统整体测评,附录,A,测评强度,附录,B,关于系统整体测评的进一步说明,测评要求的作用,指导系统运营使用单位进行自查,指导测评机构进行等级测评,监管职能部门参照进行监督检查,规范测评内容和行为,测评要求,和,基本要求,的关系,基本要求,规定了信息系统安全等级保护的基本要求，包括基本技术要求和基本管理要求，适用于不同安全等级信息系统的安全保护。,测评要求,规定了对信息系统安全控制进行等级测评的基本内容，使用到的测评方法，涉及到的测评对象，实施测评的过程要求，以及对测评结果进行判定的基本规则。,内容和结构上，存在一一对应关系。,测评方法,访谈,通过与信息系统用户（个人,/,群体）迚行交流、认论等活劢，获取相关证据证明信息系统安全保护措施是否落实的一种方法。,检查,通过对测评对象（设备、文档、现场等）迚行观察、查验、分析等活劢，获取相关证据证明信息系统安全保护措施是否有效的一种方法。,测试,利用预定的方法,/,工具使测评对象产生特定的行为活劢，查看输出结果与预期结果的差异，以获取证据证明信息系统安全保护措施是否有效的一种方法。,谢 谢,