等级保护知识介绍.ppt

Click to edit Master text styles,Second level,Third level,Click to edit Master title style,*,等级保护,/,分级保护政策学习,内容概要,政策背景,等保,/,分保制度与标准,等保,/,分保职能分工,等保,/,分保各相关方职责,实施要求,管理过程,资质管理,政策背景,(,一,),等级保护是国家信息安全的基本制度,等级保护思想始于,1994,年发布的,中华人民共和国计算机信息系统安全保护条例,（国务院第,147,号令），其中明确提出了“计算机信息系统实行安全等级保护”。之后于,1999,年发布了,计算机信息系统安全保护等级划分准则,（,GB 17859-1999,）。,等级保护工作推动取得突破性进展的标志是,2003,年发布,国家信息化领导小组关于加强信息安全保障工作的意见,（中办发,200327,号）和,2005,年发布的,关于信息安全等级保护的实施意见,（公通字,2005 66,号），确立了等级保护作为国家信息安全保障的基本制度。,等级保护制度是从国家的视角，依据信息系统被破坏后，对国家安全、社会秩序和公共利益造成的影响程度来划分系统的安全等级。等级保护制度充分体现了信息安全的国家意志。,政策背景,(,二,),等级保护与分级保护的分开管理,在,66,号文发布之后，等级保护按照信息系统的涉密情况分成两条线管理。非涉密信息系统的等级保护由公安部负责监督、检查、指导，称为“信息系统安全等级保护”；涉及国家秘密信息系统的等级保护由国家保密工作机构负责监督、检查、指导，称为“涉及国家秘密的信息系统分级保护”。,在等级保护方面，国家发布了,信息安全等级保护管理办法,（公通字,2007 43,号）、,关于开展全国重要信息系统安全等级保护定级工作的通知,（公信安,2007861,号）等文件，并起草了“信息系统安全等级保护定级指南”、“信息系统安全等级保护基本要求”、“信息系统安全等级保护实施指南”等系列国家标准（报批稿）。,在分级保护方面，国家保密局发布了,涉及国家秘密的信息系统分级保护管理办法,（国保发,200516,号），之后陆续发布了,涉及国家秘密的信息系统分级保护技术要求,、,涉及国家秘密的信息系统分级保护管理规范,、,涉及国家秘密的信息系统分级保护方案设计指南,、,涉及国家秘密的信息系统分级保护测评指南,等一系列分级保护的国家保密标准。,等保,/,分保制度与标准,等保,/,分保制度与标准,某级系统,物理安全,技术要求,管理要求,基本要求,网络安全,主机安全,应用安全,数据安全,安全管理机构,安全管理制度,人员安全管理,系统建设管理,系统运维管理,标准（一）,等级保护主要标准,:,信息安全技术 信息系统安全等级保护基本要求,(GB/T 22239),；,信息安全技术 信息系统安全等级保护定级指南,(GB/T 22240),；,信息安全技术 信息系统安全等级保护实施指南,(,国标报批稿,),；,信息安全技术 信息系统安全等级保护测评规范,(,国标报批稿,),。,标准（二）,等级保护配套标准,:,计算机信息系统安全保护等级划分准则,（,GB 17859-1999,）；,信息系统通用安全技术要求,（,GB/T20271,）；,网络基础安全技术要求,（,GB/T20270,）；,操作系统安全技术要求,（,GB/T20272,）；,数据库管理系统安全技术要求,（,GB/T20273,）；,终端计算机系统安全等级技术要求,（,GA/T671,）；,信息系统安全管理要求,（,GB/T20269,）；,信息系统安全工程管理要求,（,GB/T20282,）。,标准（三）,分级保护标准,:,涉及国家秘密的信息系统分级保护技术要求,（,BMB17-2006,）；,涉及国家秘密的信息系统工程监理规范,（,BMB18-2006,）；,涉及国家秘密的信息系统分级保护管理规范,（,BMB20-2007,）；,涉及国家秘密的信息系统分级保护测评指南,（,BMB22-2007,）；,涉及国家秘密的信息系统分级保护方案设计指南,（,BMB23-2008,）。,等级保护与分级保护职能分工,等级保护各相关方职责,(,一,),等级保护实施工程所涉及的主管部门与协作单位,分级保护各相关方职责,(,二,),分级保护实施工程所涉及的主管部门与协作单位,实施要求,(,一,),等级保护实施要求,:,实施要求,(,二,),分级保护实施要求,:,管理过程,(,一,),等级保护管理过程,:,信息系统等级保护实施生命周期内的主要活动,规划设计阶段,安全实施,/,实现阶段,安全运行管理阶段,等级化风险评估,安全总体设计,安全建设规划,安全方案设计,安全产品采购,安全控制集成,测试与验收,管理机构的设置,管理制度的建设,人员配置和岗位培训,安全建设过程的管理,操作管理和控制,变更管理和控制,安全状态监控,安全事件处置和应急预案,安全评估和持续改进,监督检查,定级阶段,系统调查和描述,子系统划分,/,分解,子系统边界确定,安全等级确定,定级结果文档化,等级保护的生命周期,管理过程,(,二,),等级保护主管部门的管理手段,:,管理过程,(,三,),分级保护管理过程,:,管理过程,(,四,),分级保护主管部门的管理手段,:,等级保护对厂商和产品的资质管理,:,资质管理,(,一,),分级保护对厂商和产品的资质管理,:,资质管理,(,二,),谢谢！,