1、LOGO信息安全等级保护体系解读1 内容概要内容概要信息安全等级保护的定义1 1信息安全等级保护的工作内容2 22LOGO信息安全等级保护的定义信息安全等级保护的定义信息安全等级保护制度是我国信息安全工作保障工作的基本制度和基本国策,是开展信息安全工作的基本方法,是促进信息化、维护国家信息安全的基本保障。信息系统信息安全产品信息安全事件第一级安全保护第二级安全保护第三级安全保护第四级安全保护第五级安全保护EAL1EAL2EAL3EAL4EAL5特别重大事件(I级)重大事件(II级)较大事件(III级)一般事件(IV级)3LOGO信息系统安全保护等级的划分信息系统安全保护等级的划分等级对象侵害客
2、体侵害程度监管程度第一级一般系统合法权益损害自主保护第二级合法权益严重损害指导社会秩序和公共利益损害第三级重要系统社会秩序和公共利益严重损害监督检查国家安全损害第四级社会秩序和公共利益特别严重损害强制监督检查国家安全严重损害第五级极端重要系统国家安全特别严重损害专门监督检查4LOGO信息安全等级保护的发展历史信息安全等级保护的发展历史1995年1999年1994年中华人民共和国计算机信息系统安全保护条例(国务院147号令)规定,“计算机信息系统实行安全等级保护,安全等级的划分标准和安全保护的具体办法,由公安部会同有关部门制定”。中华人民共和国警察法(法律依据)第二章第六条第十二款规定,“公安机
3、关人民警察依法履行监察管理计算机信息系统的安全保护工作”。计算机信息系统安全保护等级划分准则(GB17859)第一级:用户自主保护级第二级:系统审计保护级第三级:安全标记保护级第四级:结构化保护级第五级:访问验证保护级5LOGO信息安全等级保护的发展历史信息安全等级保护的发展历史2003年国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号)明确指出“实行信息安全等级保护”;“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南。”2004年关于信息安全等级保护工作的实施意见(公通
4、字200466号)明确了开展信息安全等级保护工作的意义、具体的工作内容、各部门的职责分工及实施计划。2007年信息安全等级保护管理办法(公通字200743号)明确了信息安全等级保护具体的等级划分、定级、备案、整改、测评、检查等环节的具体工作要求和实施细则。2008年国家标准化管理委员会相断出台了信息安全等级保护的各项国家标准规范:信息安全等级保护定级指南(GB/T 22240)信息安全等级保护基本要求(GB/T 22239)等32项国家标准。6LOGO信息安全等级保护的政策和法律体系信息安全等级保护的政策和法律体系中华人民共和国计算机信息系统安全保护条例(国务院147号令)国家信息化领导小组关
5、于加强信息安全保障工作的意见(中办发200327号)关于信息安全等级保护工作的实施意见(公通字200466号)信息安全等级保护管理办法(公通字200743号)关于开展全国重要信息系统安全等级保护定级工作的通知(公信安2007861号)信息安全等级保护备案实施细则(公信安20071360号)关于开展信息安全等级保护安全建设整改工作的指导意见(公信安20091429号)关于加强国家电子政务工程建设项目信息安全风险评估工作的通知(发改高技20082071号)关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知(公信安303号文)关于印发信息系统安全等级测评报告模版(试行)的通知(公信安200
6、91487号)公安机关信息安全等级保护检查工作规范(公信安2008736号)信息安全等级保护工作定级备案整改测评检查7LOGO信息安全等级保护技术和管理标准体系信息安全等级保护技术和管理标准体系计算机信息系统安全保护等级划分准则(GB17859)信息系统安全等级保护定级指南信息系统安全等级保护基本要求技术类信息系统通用安全技术要求信息系统物理安全技术要求网络基础安全技术要求其它技术类标准管理类信息系统安全管理要求信息系统安全工程管理要求其它管理类标准产品类操作系统安全技术要求数据库管理系统安全技术要求网络和终端设备隔离部件安技术要求其它产品类标准信息系统安全等级保护基本要求的行业细则信息系统安
7、全等级保护基本要求的定级细则信息系统安全等级保护测评过程指南信息系统等级保护安全设计技术要求信息系统安全等级保护实施指南信息系统安全等级保护测评要求信息安全等级保护安全建设整改工作安全等级安全要求现状分析方法指导8LOGO信息安全等级保护所涉及的标准信息安全等级保护所涉及的标准通用类1.计算机信息系统安全等级保护划分准则(GB17859)2.信息系统安全等级保护实施指南(GB/T25058)3.信息安全技术信息系统安全等级保护基本要求(GB/T22239)4.信息安全技术信息系统安全保护等级定级指南(GB/T22240)5.信息安全技术信息系统安全等级保护测评要求6.信息安全技术信息系统安全等
8、级保护测评过程指南。安全技术类1.信息系统等级保护安全设计技术要求2.信息安全技术网络基础安全技术要求(GB/T20270)3.信息安全技术信息系统安全通用技术要求(GB/T20271)4.信息安全技术信息系统物理安全技术要求(GB/T21052)5.信息安全技术服务器安全技术要求(GB/T21028)6.信息安全技术操作系统安全技术要求(GB/T20272)7.信息安全技术数据库管理系统安全技术要求(GBT20273)。安全管理类1.信息安全技术信息系统安全管理要求(GB/T20269)2.信息安全技术信息系统安全工程管理要求(GB/T20282)3.信息技术安全技术信息安全事件管理指南(G
9、B/Z20985)4.信息安全技术信息安全事件分类分级指南(GB/Z20986)。9LOGO信息安全等级保护工作的职责和角色信息安全等级保护工作的职责和角色行业主管部门:负责依照国家信息安全等级保护的管理规范和技术标准,督促、检查和指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。公安机关:非涉密信息系统等级保护具体工作的监督、检查、指导。保密部门:涉密信息系统等保工作的监督、检查、指导。密码管理部门:密码工作的监督、检查、指导。国务院信息化工作办公室及地方信息化领导小组办事机构:各部门间的工作协调。测评机构:对信息系统和信息安全产品进行等级保护测评,出具测评结论。信息
10、安全服务机构:协助信息系统运营、使用单位完成安全保护等级、安全需求分析、安全总体规划、实施安全建设和安全改造等。信息系统运营、使用单位:确定安全保护等级,安全保护的规划设计,定级进行等保测评,建立信息安全事件应急响应体系。信息安全产品供应商:开发符合等级保护相关要求的信息安全产品,按照等级保护相关要求销售信息安全产品并提供相关服务。信息安全信息安全等级保护等级保护10LOGO信息安全等级保护工作概述信息安全等级保护工作概述定级备案整改测评检查信息安全等级保护工作流程1.确定信息系统的安全防护等级,形成定级报告。2.持定级报告到当地公安机关网监部门进行备案。3.参照信息系统当前等级要求和标准,对
11、信息系统进行整改加固。4.委托具备测评资质的测评机构对信息系统进行等级测评,形成正式的测评报告。5.向当地公安机关网监部门提交测评报告,配合完成对信息安全等级保护实施情况的检查。11LOGO信息安全等级保护基本要求信息安全等级保护基本要求系统运维管理系统建设管理数据安全信息安全等级保护基本要求物理安全网络安全主机安全安全管理机构安全管理制度应用安全人员安全管理技术要求技术要求管理要求管理要求12LOGO信息安全等级保护信息安全等级保护定级定级定义定义由信息系统运营单位确定信息系统的安全保护等级。1由运营单位业务部门确定实施信息安全等级保护的信息系统。2参照定级标准和流程获得信息等级的安全保护等
12、级信息。3最终形成信息系统安全保护等级确认报告。13LOGO定级流程定级流程1.确定定级对象2.确定业务信息安全受到破坏时所侵害的客体3.综合评定对客体的侵害程度4.业务信息安全等级(S)5.确定系统服务安全受到破坏时所侵害的客体6.综合评定对客体的侵害程度7.系统服务安全等级(A)8.定级对象的安全保护等级(SxAxGx)14LOGO定级参考信息定级参考信息业务信息安全保护等级矩阵表业务信息安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公司、法人和其他组织的合法利益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第四级系统服务安全保护等级矩
13、阵表系统服务安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公司、法人和其他组织的合法利益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第四级15LOGO定级结论定级结论安全保护等级信息系统定级结果组合第二级S1A2G2,S2A2G2,S2A1G2第三级S1A3G3,S2A3G3,S3A3G3,S3A2G3,S3A1G3第四级S1A4G4,S2A4G4,S3A4G4,S4A4G4,S4A3G4,S4A2G4,S4A1G416LOGO信息安全等级保护信息安全等级保护备案备案定义定义由信息系统运营单位持定级报告到当地公安机关网监部门进行信息系统安
14、全保护等级信息备案。1按照运营单位所在地确定受理备案的机构(省公安厅/市公安局)。2由运营单位填写信息系统安全等级保护备案表格。3提交备案表格,获得备案回执信息(通过审核/限期整改)。17LOGO备案信息备案信息18LOGO信息安全等级保护信息安全等级保护整改整改定义定义按照信息系统已备案的等级信息,参照信息安全等级保护基本要求,组织开展差距分析及整改加固的相关工作。由信息系统运营单位开展自查及整改工作,不断完善信息安全等级保护的各项要求。委托具备测评资质的测评机构开展信息系统安全等级保护差距分析,配合运营单位完成整改及安全加固工作。19LOGO信息安全等级保护信息安全等级保护测评机构测评机构
15、业务范围1.信息安全等级保护测评。2.信息系统安全等级保护定级,等级保护安全建设整改,信息安全等级保护宣传教育等工作的技术支持。3.信息安全风险评估。4.信息安全培训。5.信息安全咨询。6.信息安全工程监理。不得从事的活动1.影响被测评信息系统正常运行,危害被测评信息系统安全。2.泄露知悉的被测评单位及被测评信息系统的国家秘密和工作秘密。3.故意隐瞒测评过程中发现的安全问题,或者在测评过程中弄虚作假,未如实出具等级测评报告。4.未按规定格式出具等级测评报告;5.非授权占有、使用等级测评相关资料及数据文件;6.分包或转包等级测评项目;7.信息安全产品开发、销售和信息系统安全集成;8.限定被测评单
16、位购买、使用其指定的信息安全产品;9.其他可能影响测评客观、公正和安全的活动。20LOGO整改依据整改依据21LOGO不同级别控制点差异不同级别控制点差异安全要求类层面一级二级三级四级技术要求物理安全7101010网络安全3677主机安全4679应用安全47911数据安全及备份恢复2333管理要求安全管理制度2333安全管理机构4555人员安全管理4555系统建设管理991111系统运维管理9121313合计/48667377级差/187422LOGO不同级别要求项差异不同级别要求项差异安全要求类层面一级二级三级四级技术要求物理安全9193233网络安全9183332主机安全6193236应用
17、安全7193136数据安全及备份恢复24811管理要求安全管理制度371114安全管理机构492020人员安全管理7111618系统建设管理20284548系统运维管理18416270合计/85175290318级差/901152823LOGO信息安全等级保护信息安全等级保护测评测评定义定义委托具备测评资质的第三方测评机构,对已定级的信息系统进行信息安全等级保护测评,并出具正式的测评报告和测评结论。1明确被测评系统的安全保护等级,制定测评方案和实施计划。2由运营单位配合完成测评过程中的人员访谈、配置检查、安全测试等工作。3出具最终的测评报告和测评结论(符合/基本符合/不符合)。24LOGO测评
18、实施流程测评实施流程等级测评项目启动信息收集与分析工具和表单准备测评准备活动测评对象确定测评指标确定测评内容确定工具测评方法确定测评指导书开发测评方案编制方案编制活动现场测评准备现场测评和结果记录结果确认和资料归还现场测评活动单项测评结果判定单元测评结果判定整体测评风险分析等保测评结论形成测评报告编制报告编制活动沟通与洽谈25LOGO1.1.测评准备活动测评准备活动测评项目启动测评项目启动测评机构与信息系统运营单位签订测评委托合同,明确被测评的信息系统名称和安全保护等级,确认测评实施范围。信息收集与分析信息收集与分析信息系统运营单位整理被测评系统的相关信息,填写测评机构提供的测评系统信息表格。
19、工具和表单准备工具和表单准备根据运营单位提供的被测评系统的相关信息,由测评机构准备相应的安全测试工具和测试申请表格。26LOGO1.1.测评准备活动测评准备活动测评实施项需要收集的信息配合人员需要收集的信息配合人员信息收集与分析机构基本情况业务部门主管终端设备情况主机管理员系统管理人员名单系统管理员系统软件情况系统管理员物理环境情况机房管理员应用系统软件情况系统管理员信息系统基本情况系统管理员业务数据情况数据管理员承载的业务情况系统管理员数据备份情况数据管理员网络结构情况网络管理员应用系统软件处理流程系统管理员服务器设备情况主机管理员业务数据流程业务管理员网络设备情况网络管理员管理文档情况文档
20、管理员安全设备情况安全管理员安全威胁情况安全管理员外联线路及设备端口情况网络管理员系统备案信息业务部门主管27LOGO2.2.方案编制活动方案编制活动测评对象确定测评对象确定根据已经了解到的被测系统信息,分析整个被测系统及其涉及的业务应用系统,确定出本次测评的测评对象。测评指标确定测评指标确定根据已经了解到的被测系统定级结果,确定出本次测评的测评指标。测评内容确定测评内容确定确定现场测评的具体实施内容。28LOGO2.2.方案编制活动方案编制活动测评指导书开发测评指导书开发测评指导书是具体指导测评人员如何进行测评活动的文件,是现场测评的工具、方法和操作步骤等的详细描述,编制与实际测评相关的测评
21、指导书。测评方案编制测评方案编制测评方案是等级测评工作实施的基础,指导等级测评工作的现场实施活动。主要包括:项目概述、测评对象、测评指标、测评工具的接入点以及单元测评实施等。29LOGO2.2.方案编制方案编制活动活动测评指导书测评指导书30LOGO2.2.方案编制方案编制活动活动测评方案测评方案31LOGO3.3.现场测评活动现场测评活动现场测评准备现场测评准备测评机构与被测评单位双方在现场测评前就配合人员、所需资源、测评方案及实施计划的详细沟通与确认。现场测评现场测评和结果记录和结果记录现场测评主要包括人员访谈、文档审查、策略配置检查、工具测试和实地察看等五个方面,详细记录结果。结果确认结
22、果确认和资料返还和资料返还将各单项测评项的结果与被测评单位的相关管理人员进行信息确认,在现场测评结束前返还测评过程中所需的各项管理文档和资料。32LOGO3.3.现场测评活动现场测评活动双方职责双方职责测评机构职责利用访谈、文档审查、配置检查、工具测试和实地察看的方法测评被测系统的保护措施情况,并获取相关证据。测评委托单位职责1.测评前备份系统和数据,并确认被测设备状态完好。2.协调被测系统内部相关人员的关系,配合测评工作的开展。3.签署现场测评授权书。4.相关人员回答测评人员的问询,对某些需要验证的内容上机进行操作。5.相关人员确认测试前协助测评人员实施工具测试并提供有效建议,降低安全测评对
23、系统运行的影响。6.相关人员协助测评人员完成业务相关内容的问询、验证和测试。7.相关人员对测评结果进行确认。8.相关人员确认测试后被测设备状态完好。33LOGO3.3.现场测评活动现场测评活动双方职责双方职责测评实施项工作内容实施人员(测评机构)配合人员(被测评单位)现场测评和结果记录结果确认和资料返还物理安全测评物理安全测评师机房管理员网络安全测评网络安全测评师网络管理员安全管理员主机安全测评主机安全测评师主机管理员应用安全测评应用安全测评师应用系统管理员数据安全测评数据安全测评师数据管理员安全管理机构测评安全管理测评师业务、科技部门主管安全管理制度测评业务、科技部门主管人员安全管理测评业务
24、、科技部门主管系统运维管理测评系统运维部门主管系统建设管理测评系统开发、建设部门主管34LOGO3.3.现场测评现场测评活动活动测评实施方法测评实施方法访谈文档审查配置检查工具测试测评人员与被测系统有关人员(个人/群体)进行交流、讨论等活动,获取相关证据,了解有关信息。1.检查基本要求中规定的必须具有的制度、策略、操作规程等文档是否齐备。2.检查是否有完整的制度执行情况记录,如机房出入登记记录、电子记录、高等级系统的关键设备的使用登记记录等。3.对上述文档进行审核与分析,检查他们的完整性和这些文件之间的内部一致性。根据测评结果记录表格内容,利用上机验证的方式检查应用系统、主机系统、数据库系统以
25、及网络设备的配置是否正确,是否与文档、相关设备和部件保持一致,对文档审核的内容进行核实。根据测评指导书,利用技术工具对系统进行测试,包括基于网络探测和基于主机审计的漏洞扫描、渗透性测试、性能测试、入侵检测和协议分析等。实地察看根据被测系统的实际情况,测评人员到系统运行现场通过实地的观察人员行为、技术设施和物理环境状况判断人员的安全意识、业务操作、管理程序和系统物理环境等方面的安全情况,测评其是否达到了相应等级的安全要求。35LOGO3.3.现场测评活动现场测评活动结果记录结果记录36LOGO4.4.报告编制活动报告编制活动单项测评结果判定单项测评结果判定针对测评指标中的单个测评项,结合具体测评
26、对象,客观、准确地分析测评证据,形成初步单项测评结果,单项测评结果是形成等级测评结论的基础。单元测评结果判定单元测评结果判定将单项测评结果进行汇总,分别统计不同测评对象的单项测评结果,从而判定单元测评结果。整体测评整体测评对单项测评结果的不符合项,采取逐条判定的方法,从安全控制间、层面间和区域间出发考虑,给出整体测评的具体结果,并对系统结构进行整体安全测评。37LOGO4.4.报告编制活动报告编制活动风险风析风险风析依据等级保护的相关规范和标准,采用风险分析的方法分析等级测评结果中存在的安全问题可能对被测系统安全造成的影响。等保结论形成等保结论形成在测评结果汇总的基础上,找出系统保护现状与等级
27、保护基本要求之间的差距,并形成等级测评结论。测评报告编制测评报告编制输出正式的信息系统安全等级保护测评报告。38LOGO4.4.报告编制活动报告编制活动测评报告编制测评报告编制符合符合基本符合基本符合不符合不符合39LOGO信息安全等级保护信息安全等级保护检查检查定义定义公安机关网监部门定期对信息系统运营单位的信息安全等级保护实施情况进行检查和监督。1第三级信息系统每年一次;第四级信息系统每半年一次。2检查内容包括:定级备案情况、安全整改情况、安全管理制度建设和落实情况、测评实施情况等。3由公安机关网监部门出具检查报告或整改通知书。40LOGO检查依据检查依据41LOGO山东区域等保测评机构山东区域等保测评机构机构编号机构名称(鲁)-001山东新潮信息技术有限公司(鲁)-002联通系统集成有限公司山东分公司(鲁)-003山东维平信息安全测评技术有限公司(鲁)-004山东省电子信息产品检验院(山东省网络与信息安全测评中心)(鲁)-005青岛速科评测实验室有限公司(鲁)-006山东省计算中心(国家超级计算济南中心)(鲁)-007济南时代确信信息安全测评有限公司 中国信息安全等级保护网http:/42LOGOLOGO相关问题答疑43
浙ICP备2021020529号-1 | 浙B2-20240490 
