收藏 分销(赏)

信息安全等级保护体系解读.ppt

上传人:快乐****生活 文档编号:12154966 上传时间:2025-09-18 格式:PPT 页数:44 大小:4.42MB 下载积分:12 金币
下载 相关 举报
信息安全等级保护体系解读.ppt_第1页
第1页 / 共44页
信息安全等级保护体系解读.ppt_第2页
第2页 / 共44页


点击查看更多>>
资源描述
,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,LOGO,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,信息安全等级保护体系解读,内容概要,信息安全等级保护的定义,1,信息安全等级保护的工作内容,2,2,信息安全等级保护的定义,信息安全等级保护制度是我国信息安全工作保障工作的基本制度和基本国策,是开展信息安全工作的基本方法,是促进信息化、维护国家信息安全的基本保障。,信息系统,信息安全产品,信息安全事件,第一级安全保护,第二级安全保护,第三级安全保护,第四级安全保护,第五级安全保护,EAL1,EAL2,EAL3,EAL4,EAL5,特别重大事件(,I,级),重大事件(,II,级),较大事件(,III,级),一般事件(,IV,级),3,信息系统安全保护等级的划分,4,信息安全等级保护的发展历史,1995,年,1999,年,1994,年,中华人民共和国计算机信息系统安全保护条例,(国务院,147,号令)规定,“计算机信息系统实行安全等级保护,安全等级的划分标准和安全保护的具体办法,由公安部会同有关部门制定”。,中华人民共和国警察法,(法律依据),第二章第六条第十二款规定,“公安机关人民警察依法履行监察管理计算机信息系统的安全保护工作”。,计算机信息系统安全保护等级划分准则,(,GB17859,),第一级:用户自主保护级,第二级:系统审计保护级,第三级:安全标记保护级,第四级:结构化保护级,第五级:访问验证保护级,5,信息安全等级保护的发展历史,2003,年,国家信息化领导小组关于加强信息安全保障工作的意见,(中办发,200327,号),明确指出“实行信息安全等级保护”;“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南。”,2004,年,关于信息安全等级保护工作的实施意见,(公通字,200466,号),明确了开展信息安全等级保护工作的意义、具体的工作内容、各部门的职责分工及实施计划。,2007,年,信息安全等级保护管理办法,(公通字,200743,号),明确了信息安全等级保护具体的等级划分、定级、备案、整改、测评、检查等环节的具体工作要求和实施细则。,2008,年,国家标准化管理委员会相断出台了信息安全等级保护的各项国家标准规范:,信息安全等级保护定级指南,(,GB/T 22240,),信息安全等级保护基本要求,(,GB/T 22239,)等,32,项国家标准。,6,信息安全等级保护的政策和法律体系,中华人民共和国计算机信息系统安全保护条例,(,国务院,147,号令,),国家信息化领导小组关于加强信息安全保障工作的意见,(中办发,200327,号),关于信息安全等级保护工作的实施意见,(公通字,200466,号),信息安全等级保护管理办法,(公通字,200743,号,),关于开展全国重要信息系统安全等级保护定级工作的通知,(公信安,2007861,号),信息安全等级保护备案实施细则,(公信安,20071360,号),关于开展信息安全等级保护安全建设整改工作的指导意见,(,公信安,20091429,号,),关于加强国家电子政务工程建设项目信息安全风险评估工作的通知,(发改高技,20082071,号),关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知,(公信安,303,号文),关于印发,信息系统安全等级测评报告模版(试行),的通知(公信安,20091487,号),公安机关信息安全等级保护检查工作规范,(公信安,2008736,号),信息安全等级保护工作,定级,备案,整改,测评,检查,7,信息安全等级保护技术和管理标准体系,计算机信息系统安全保护等级划分准则(,GB17859,),信息系统安全等级保护定级指南,信息系统安全等级保护基本要求,技术类,信息系统通用安全技术要求,信息系统物理安全技术要求,网络基础安全技术要求,其它技术类标准,管理类,信息系统安全管理要求,信息系统安全工程管理要求,其它管理类标准,产品类,操作系统安全技术要求,数据库管理系统安全技术要求,网络和终端设备隔离部件安技术要求,其它产品类标准,信息系统安全等级保护基本要求的行业细则,信息系统安全等级保护基本要求的定级细则,信息系统安全等级保护测评过程指南,信息系统等级保护安全设计技术要求,信息系统安全等级保护实施指南,信息系统安全等级保护测评要求,信息安全等级保护安全建设整改工作,安全等级,安全要求,现状分析,方法指导,8,大家有疑问的,可以询问和交流,可以互相讨论下,但要小声点,9,信息安全等级保护所涉及的标准,通用类,1.,计算机信息系统安全等级保护划分准则,(GB17859),2.,信息系统安全等级保护实施指南,(GB/T25058)3.,信息安全技术信息系统安全等级保护基本要求,(GB/T22239),4.,信息安全技术信息系统安全保护等级定级指南,(GB/T22240),5.,信息安全技术信息系统安全等级保护测评要求,6.,信息安全技术信息系统安全等级保护测评过程指南,。,安全技术类,1.,信息系统等级保护安全设计技术要求,2.,信息安全技术网络基础安全技术要求,(GB/T20270),3.,信息安全技术信息系统安全通用技术要求,(GB/T20271),4.,信息安全技术信息系统物理安全技术要求,(GB/T21052),5.,信息安全技术服务器安全技术要求,(GB/T21028),6.,信息安全技术操作系统安全技术要求,(GB/T20272),7.,信息安全技术数据库管理系统安全技术要求,(GBT20273),。,安全管理类,1.,信息安全技术信息系统安全管理要求,(GB/T20269),2.,信息安全技术信息系统安全工程管理要求,(GB/T20282),3.,信息技术安全技术信息安全事件管理指南,(GB/Z20985),4.,信息安全技术信息安全事件分类分级指南,(GB/Z20986),。,10,信息安全等级保护工作的职责和角色,行业主管部门:,负责依照国家信息安全等级保护的管理规范和技术标准,督促、检查和指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。,公安机关:,非涉密信息系统等级保护具体工作的监督、检查、指导。,保密部门:,涉密信息系统等保工作的监督、检查、指导。,密码管理部门:,密码工作的监督、检查、指导。,国务院信息化工作办公室及地方信息化领导小组办事机构:,各部门间的工作协调。,测评机构:,对信息系统和信息安全产品进行等级保护测评,出具测评结论。,信息安全服务机构:,协助信息系统运营、使用单位完成安全保护等级、安全需求分析、安全总体规划、实施安全建设和安全改造等。,信息系统运营、使用单位,:,确定安全保护等级,安全保护的规划设计,定级进行等保测评,建立信息安全事件应急响应体系。,信息安全产品供应商:,开发符合等级保护相关要求的信息安全产品,按照等级保护相关要求销售信息安全产品并提供相关服务。,信息安全等级保护,11,信息安全等级保护工作概述,定级,备案,整改,测评,检查,信息安全等级保护工作流程,1.,确定信息系统的安全防护等级,形成定级报告。,2.,持定级报告到当地公安机关网监部门进行备案。,3.,参照信息系统当前等级要求和标准,对信息系统进行整改加固。,4.,委托具备测评资质的测评机构对信息系统进行等级测评,形成正式的测评报告。,5.,向当地公安机关网监部门提交测评报告,配合完成对信息安全等级保护实施情况的检查。,12,信息安全等级保护基本要求,系统运维管理,系统建设管理,数据安全,信息安全等级保护基本要求,物理安全,网络安全,主机安全,安全管理机构,安全管理制度,应用安全,人员安全管理,技术要求,管理要求,13,信息安全等级保护,定级,定义,由信息系统运营单位确定信息系统的安全保护等级。,1,由运营单位业务部门确定实施信息安全等级保护的信息系统。,2,参照定级标准和流程获得信息等级的安全保护等级信息。,3,最终形成信息系统安全保护等级确认报告。,14,定级流程,1.,确定定级对象,2.,确定业务信息安全受到破坏时所侵害的客体,3.,综合评定对客体的侵害程度,4.,业务信息安全等级(,S,),5.,确定系统服务安全受到破坏时所侵害的客体,6.,综合评定对客体的侵害程度,7.,系统服务安全等级(,A,),8.,定级对象的安全保护等级(,SxAxGx,),15,定级参考信息,业务信息安全保护等级矩阵表,系统服务安全保护等级矩阵表,16,定级结论,17,信息安全等级保护,备案,定义,由信息系统运营单位持定级报告到当地公安机关网监部门进行信息系统安全保护等级信息备案。,1,按照运营单位所在地确定受理备案的机构(省公安厅,/,市公安局)。,2,由运营单位填写信息系统安全等级保护备案表格。,3,提交备案表格,获得备案回执信息(通过审核,/,限期整改)。,18,备案信息,19,信息安全等级保护,整改,定义,按照信息系统已备案的等级信息,参照信息安全等级保护基本要求,组织开展差距分析及整改加固的相关工作。,由信息系统运营单位开展自查及整改工作,不断完善信息安全等级保护的各项要求。,委托具备测评资质的测评机构开展信息系统安全等级保护差距分析,配合运营单位完成整改及安全加固工作。,20,信息安全等级保护,测评机构,业务范围,1.,信息安全等级保护测评。,2.,信息系统安全等级保护定级,等级保护安全建设整改,信息安全等级保护宣传教育等工作的技术支持。,3.,信息安全风险评估。,4.,信息安全培训。,5.,信息安全咨询。,6.,信息安全工程监理。,不得从事的活动,1.,影响被测评信息系统正常运行,危害被测评信息系统安全。,2.,泄露知悉的被测评单位及被测评信息系统的国家秘密和工作秘密。,3.,故意隐瞒测评过程中发现的安全问题,或者在测评过程中弄虚作假,未如实出具等级测评报告。,4.,未按规定格式出具等级测评报告;,5.,非授权占有、使用等级测评相关资料及数据文件;,6.,分包或转包等级测评项目;,7.,信息安全产品开发、销售和信息系统安全集成;,8.,限定被测评单位购买、使用其指定的信息安全产品;,9.,其他可能影响测评客观、公正和安全的活动。,21,整改依据,22,不同级别控制点差异,23,不同级别要求项差异,24,信息安全等级保护,测评,定义,委托具备测评资质的第三方测评机构,对已定级的信息系统进行信息安全等级保护测评,并出具正式的测评报告和测评结论。,1,明确被测评系统的安全保护等级,制定测评方案和实施计划。,2,由运营单位配合完成测评过程中的人员访谈、配置检查、安全测试等工作。,3,出具最终的测评报告和测评结论(符合,/,基本符合,/,不符合)。,25,测评实施流程,等级测评项目启动,信息收集与分析,工具和表单准备,测评准备活动,测评对象确定,测评指标确定,测评内容确定,工具测评方法确定,测评指导书开发,测评方案编制,方案编制活动,现场测评准备,现场测评和结果记录,结果确认和资料归还,现场测评活动,单项测评结果判定,单元测评结果判定,整体测评,风险分析,等保测评结论形成,测评报告编制,报告编制活动,沟通与洽谈,26,1.,测评准备活动,测评项目启动,测评机构与信息系统运营单位签订测评委托合同,明确被测评的信息系统名称和安全保护等级,确认测评实施范围。,信息收集与分析,信息系统运营单位整理被测评系统的相关信息,填写测评机构提供的测评系统信息表格。,工具和表单准备,根据运营单位提供的被测评系统的相关信息,由测评机构准备相应的安全测试工具和测试申请表格。,27,1.,测评准备活动,28,2.,方案编制活动,测评对象确定,根据已经了解到的被测系统信息,分析整个被测系统及其涉及的业务应用系统,确定出,本次测评的测评对象。,测评指标确定,根据已经了解到的被测系统定级结果,确定出本次测评的测评指标。,测评内容确定,确定现场测评的具体实施内容。,29,2.,方案编制活动,测评指导书开发,测评指导书是具体指导测评人员如何进行测评活动的文件,是现场测评的工具、方法和,操作步骤等的详细描述,编制与实际测评相关的测评指导书。,测评方案编制,测评方案是等级测评工作实施的基础,指导等级测评工作的现场实施活动。主要包括:项目概述、测评对象、测评指标、测评工具的接入点以及单元测评实施等。,30,2.,方案编制活动,测评指导书,31,2.,方案编制活动,测评方案,32,3.,现场测评活动,现场测评准备,测评机构与被测评单位双方在现场测评前就配合人员、所需资源、测评方案及实施计划的详细沟通与确认。,现场测评,和结果记录,现场测评主要包括人员访谈、文档审查、策略配置检查、工具测试和实地察看等五个方面,详细记录结果。,结果确认,和资料返还,将各单项测评项的结果与被测评单位的相关管理人员进行信息确认,在现场测评结束前返还测评过程中所需的各项管理文档和资料。,33,3.,现场测评活动,双方职责,测评机构职责,利用访谈、文档审查、配置检查、工具测试和实地察看的方法测评被测系统的保护,措施情况,并获取相关证据。,测评委托单位职责,1.,测评前备份系统和数据,并确认被测设备状态完好。,2.,协调被测系统内部相关人员的关系,配合测评工作的开展。,3.,签署现场测评授权书。,4.,相关人员回答测评人员的问询,对某些需要验证的内容上机进行操作。,5.,相关人员确认测试前协助测评人员实施工具测试并提供有效建议,降低安全测评对系统运行的影响。,6.,相关人员协助测评人员完成业务相关内容的问询、验证和测试。,7.,相关人员对测评结果进行确认。,8.,相关人员确认测试后被测设备状态完好。,34,3.,现场测评活动,双方职责,35,3.,现场测评活动,测评实施方法,访谈,文档,审查,配置,检查,工具,测试,测评人员与被测系统有关人员(个人,/,群体)进行交流、讨论等活动,获取相关证据,了解有关信息。,1.,检查,基本要求,中规定的必须具有的制度、策略、操作规程等文档是否齐备。,2.,检查是否有完整的制度执行情况记录,如机房出入登记记录、电子记录、高等级系统的关键设备的使用登记记录等。,3.,对上述文档进行审核与分析,检查他们的完整性和这些文件之间的内部一致性。,根据测评结果记录表格内容,利用上机验证的方式检查应用系统、主机系统、数据库系统以及网络设备的配置是否正确,是否与文档、相关设备和部件保持一致,对,文档审核的内容进行核实。,根据测评指导书,利用技术工具对系统进行测试,包括基于网络探测和基于主机审计的漏洞扫描、渗透性测试、性能测试、入侵检测和协议分析等。,实地,察看,根据被测系统的实际情况,测评人员到系统运行现场通过实地的观察人员行为、技术设施和物理环境状况判断人员的安全意识、业务操作、管理程序和系统物理环境等方面的安全情况,测评其是否达到了相应等级的安全要求。,36,3.,现场测评活动,结果记录,37,4.,报告编制活动,单项测评结果判定,针对测评指标中的单个测评项,结合具体测评对象,客观、准确地分析测评证据,形成初步单项测评结果,单项测评结果是形成等级测评结论的基础。,单元测评结果判定,将单项测评结果进行汇总,分别统计不同测评,对象的单项测评结果,从而判定单元测评,结果。,整体测评,对单项测评结果的不符合项,采取逐条判定的方法,从安全控制间、层面间和区域间出发考虑,给出整体测评的具体结果,并对系统结构进行整体安全测评。,38,4.,报告编制活动,风险风析,依据等级保护的相关规范和标准,采用风险分析的方法分析等级测评结果中存在的安全问题可能对被测系统安全造成的影响。,等保结论形成,在测评结果汇总的基础上,找出系统保护现状与等级保护基本要求之间的差距,并形成等级测评结论。,测评报告编制,输出正式的信息系统安全等级保护测评报告。,39,4.,报告编制活动,测评报告编制,符合,基本符合,不符合,40,信息安全等级保护,检查,定义,公安机关网监部门定期对信息系统运营单位的信息安全等级保护实施情况进行检查和监督。,1,第三级信息系统每年一次;,第四级信息系统每半年一次。,2,检查内容包括:定级备案情况、安全整改情况、安全管理制度建设和落实情况、测评实施情况等。,3,由公安机关网监部门出具检查报告或整改通知书。,41,检查依据,42,山东区域等保测评机构,中国信息安全等级保护网,43,相关问题答疑,
展开阅读全文

开通  VIP会员、SVIP会员  优惠大
下载10份以上建议开通VIP会员
下载20份以上建议开通SVIP会员


开通VIP      成为共赢上传

当前位置:首页 > 包罗万象 > 大杂烩

移动网页_全站_页脚广告1

关于我们      便捷服务       自信AI       AI导航        抽奖活动

©2010-2026 宁波自信网络信息技术有限公司  版权所有

客服电话:0574-28810668  投诉电话:18658249818

gongan.png浙公网安备33021202000488号   

icp.png浙ICP备2021020529号-1  |  浙B2-20240490  

关注我们 :微信公众号    抖音    微博    LOFTER 

客服