推荐-17、18 信息系统等级保护 公安部信息安全等级保护评估中心 精品
信息安全等级保护综合管理系统
2003年
2000年
2003年5月公司完成转型,成功研发出LanSecS®内网安全管理产品。 2003年11月LanSecS®内网安全管理软件开始应用于东北电网6000点安全项目中。
2000年6月公司成立,主要从事网络安全集成和相关服务。 2000年11月公司成功签约航天五院网络安全集成项目。 2000年12月公司通过国家高新技术企业认证。
安全自查结果审核
安全自查结束
系统功能-安全检查
系统功能-安全检查
系统功能-安全检查
系统功能-风险评估
系统功能-风险评估
系统功能-风险评估
系统功能-日常办公管理
系统功能-日常办公管理
系统功能-日常办公管理
系统功能-统计分析
系统功能-统计分析
系统功能-统计分析
系统功能-统计分析
日常办公平台
待办事项 已办事项 任务管理 工作考核
数据统计分析中心
信息系统统计 事件统计
系统管理中心
认证授权 审计管理 流程管理 分级管理
资产统计
工作任务统计 人员统计 建设整改统计 ……
基础数据层
信息系统库 政策法规库 标准规范库 安全人员库 管理机构库 管理制度库 灾备信息库 应急预案库 风险管理库 资产信息库 安全事件库 专家库
定级备案数据 共享接口
专家评价系统
安全运维 管理系统
安全事件 采集接口
公安部定级备案 工作平台
应用价值
等级保护工作 管理信息化
实现等级保护工作数据集中管理 提高等级保护工作信息处理效率
等级保护工作 管理流程化
定制等级保护各个工作环节的工作流程 促进等级保护工作业务管理的规范化
等级保护工作 管理常态化
信息安全等级保护评估中心.
2018/9/24
16
定级阶段-关于行业定级指导意见
对客体的侵害不是威胁直接作用的结果, 而是通过对等级保护对象——信息系统的 破坏而导致的,因此确定对客体侵害的程 度时,必须考虑对等级保护对象所造成破 坏的不同客观表现形态以及不同程度的结 果,也就是侵害的客观方面。
2018/9/24
5
公安部 信息安全 等级保护 评估中心
实施指南描述特点
阶段
– 过程
• 活动 – 子活动
公安部 信息安全 等级保护 评估中心
例如: 信息系统定级
– 信息系统分析
• 系统识别和描绘 – 识别信息系统的基本信息 – 识别信息系统的管理框架 – … 信息系统划分
6
•
2018/9/24
定级阶段
2018/9/24
9
定级阶段-关于行业定级指导意见
行业定级指导意见的意义:
– 贯彻四部委会签的《管理办法》
公安部 信息安全 等级保护 评估中心 – 阐明本行业实施等级保护工作的政策和方针 – 制定本行业定级工作的阶段计划 – 统一本行业对定级要素赋值规范
2018/9/24
10
定级阶段-关于行业定级指导意见
28
识别业务种类、流程和服务
21
公安部 信息安全 等级保护 评估中心
–
满足信息系统的基本要素
2018/9/24
定级阶段-关于定级对象确定
一、定级对象的三个条件 承载相对独立的业务应用
公安部 信息安全 等级保护 评估中心
– 定级对象承载“相对独立”的业务应用是指 其中的一个或多个业务应用的主要业务流程、 部分业务功能独立,同时与其他信息系统的 业务应用有少量的数据交换,定级对象可能 会与其他业务应用共享一些设备,尤其是网 络传输设备。“相对独立”的业务应用并不 意味着整个业务流程,可以使完整的业务流 程的一部分。
信息安全等级保护政策体系-
第2部分
信息安全等级保护政策体系和标准体系
5.信息安全等级保护主要标准简要说明
(1)《计算机信息系统安全保护等级划分准则》(GB17859—1999) 1)主要作用 规范和指导计算机信息系统安全保护有关标准的制定; 为安全产品的研究开发提供技术支持; 为监督检查提供依据。 2)主要内容 界定计算机信息系统基本概念; 信息系统安全保护能力五级划分; 从自主访问控制、强制访问控制、标记、身份鉴别、客体重用、审计、数据完整性、隐蔽信道分析、 可信路径、可信恢复等十个方面, 采取逐级增强的方式提出了计算机信息系统的安全保护技术要求。 3)使用说明
统安全管理要求》的有关内容, 在设计建设整改方案时可参考。 按照整体安全的原则, 综合考虑安全保护措施。
第2部分
信息安全等级保护政策体系和标准体系
5.信息安全等级保护主要标准简要说明
(2)《信息系统安全等级保护基本要求》(GB/T22239—2008) 使用说明 业务信息安全类(S 类)——关注的是保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未 授权的修改。 系统服务安全类(A 类)——关注的是保护系统连续正常的运行, 避免因对系统的未授权修改、破坏而 导致系统不可用。 通用安全保护类(G 类)——既关注保护业务信息的安全性, 同时也关注保护系统的连续可用性。
2.信息安全等级保护标准体系
(1)信息安全等级保护相关标准类别 产品类标准 1)操作系统 《操作系统安全技术要求》(GB/T 20272—2006) 《操作系统安全评估准则》(GB/T 20008—2005) 2)数据库 《数据库管理系统安全技术要求》(GB/T 20273—2006) 《数据库管理系统安全评估准则》(GB/T 20009—2005)
安全管理制度评审、人员 安全和系统建设过程管理
信息系统安全等级保护定级指南
前言本标准由公安部和全国信息安全标准化技术委员会提出。
本标准由全国信息安全标准化技术委员会归口。
本标准起草单位:公安部信息安全等级保护评估中心。
本标准主要起草人:任卫红、曲洁、马力、朱建平、李明、李升、谢朝海、毕马宁、陈雪秀。
引言依据《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号),制定本标准。
本标准是信息安全等级保护相关系列标准之一。
与本标准相关的系列标准包括:——GB/T BBBBB-BBBB信息系统安全等级保护基本要求;——GB/T CCCCC-CCCC信息系统安全等级保护实施指南;——GB/T DDDDD-DDDD信息系统安全等级保护测评准则。
本标准依据等级保护相关管理文件,从信息系统所承载的业务在国家安全、经济建设、社会生活中的重要作用和业务对信息系统的依赖程度这两方面,提出确定信息系统安全保护等级的方法。
信息系统安全等级保护定级指南1 范围本标准规定了信息系统安全等级保护的定级方法,适用于为信息系统安全等级保护的定级工作提供指导。
2 规范性引用文件下列文件中的条款通过在本标准的引用而成为本标准的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。
凡是不注明日期的引用文件,其最新版本适用于本标准。
GB/T 5271.8 信息技术词汇第8部分:安全GB17859-1999 计算机信息系统安全保护等级划分准则3 术语和定义GB/T 5271.8和GB17859-1999确立的以及下列术语和定义适用于本标准。
3.1等级保护对象 target of classified security信息安全等级保护工作直接作用的具体的信息和信息系统。
中国信息安全测评中心 安全可靠等级
中国信息安全测评中心安全可靠等级下载温馨提示:该文档是我店铺精心编制而成,希望大家下载以后,能够帮助大家解决实际的问题。
文档下载后可定制随意修改,请根据实际需要进行相应的调整和使用,谢谢!并且,本店铺为大家提供各种各样类型的实用资料,如教育随笔、日记赏析、句子摘抄、古诗大全、经典美文、话题作文、工作总结、词语解析、文案摘录、其他资料等等,如想了解不同资料格式和写法,敬请关注!Download tips: This document is carefully compiled by the editor. I hope that after you download them, they can help you solve practical problems. The document can be customized and modified after downloading, please adjust and use it according to actual needs, thank you!In addition, our shop provides you with various types of practical materials, such as educational essays, diary appreciation, sentence excerpts, ancient poems, classic articles, topic composition, work summary, word parsing, copy excerpts, other materials and so on, want to know different data formats and writing methods, please pay attention!中国信息安全测评中心:安全可靠等级评估导言随着信息技术的迅猛发展,信息安全已经成为社会各个领域关注的重要议题之一。
信息系统等级保护测评指标
信息系统等级保护测评指标信息系统等级保护(Information System Security Evaluation Criteria,简称ISSEC)是由中国国家信息安全测评中心制定的一套信息系统安全评估标准,旨在对各级信息系统进行安全评估,指导信息系统的构建和管理。
ISSEC体系包括五个等级,分别为一级(C1)、二级(C2)、三级(B1)、四级(B2)和五级(A1),每个等级都有特定的评估指标。
以下是ISSEC的测评指标:1.安全策略和管理-核心安全价值观的定义和落地-安全管理制度、安全责任制和安全宣导制度的建立-安全标准和规范的制定和实施-可信计算和可信网络的建设和管理2.安全风险管理-安全风险评估和风险管理策略的制定-安全需求分析和安全架构设计-安全控制措施的选择、实施和测试-安全事件响应和事故处置能力的建立3.认证和身份鉴别-用户身份鉴别和访问控制的实施-身份认证、会话管理和权限管理的支持-安全认证技术的选择和应用-密码词典管理、密码策略和密码保护措施的实施4.数据和应用安全-数据分类和安全等级保护措施的实施-信息系统应用程序开发和测试的安全要求-数据备份、恢复和业务连续性计划的建立-存储和传输的数据加密和防护控制5.网络和设备安全-网络拓扑设计和访问边界的安全保护-网络设备配置和访问控制的实施-网络安全监测、入侵检测和防御的建立-网络通信的加密和虚拟专用网络的建设6.物理安全和环境保护-机房、数据中心和服务器的物理安全保障-硬件设备和存储介质的丢失和破坏防护-电源供应和配电系统的可靠性和安全性-火灾保护、环境监测和灾难恢复计划的建立7.信息安全教育和培训-员工、用户和管理人员的信息安全意识教育-安全培训的内容和方法的制定-组织和开展安全演练和应急预案的训练-信息安全文化建设和社会责任教育以上只是ISSEC测评指标的一部分,整个体系涵盖了信息系统在不同方面的安全保护要求。
通过对这些指标的评估和评定,可以帮助组织构建更加安全可靠的信息系统,提升信息系统的保密性、完整性和可用性,从而更好地保护信息资产的安全。
公安部、国家保密局、国家密码管理局、国务院信息工作办公室关于印发《信息安全等级保护管理办法》的通知
公安部、国家保密局、国家密码管理局、国务院信息工作办公室关于印发《信息安全等级保护管理办法》的通知文章属性•【制定机关】公安部,国家保密局,国家密码管理局,国务院信息化工作办公室(已撤销)•【公布日期】2007.06.22•【文号】公通字[2007]43号•【施行日期】2007.06.22•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】国家安全,机关工作正文公安部、国家保密局、国家密码管理局、国务院信息工作办公室关于印发《信息安全等级保护管理办法》的通知(公通字[2007]43号)各省、自治区、直辖市公安厅(局)、保密局、国家密码管理局(国家密码管理委员会办公室)、信息化领导小组办公室,新疆生产建设兵团公安局、保密局、国家密码管理局、信息化领导小组办公室,中央和国家机关各部委保密委员会办公室、密码工作领导小组办公室、信息化领导小组办公室,各人民团体保密委员会办公室:为加快推进信息安全等级保护,规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定了《信息安全等级保护管理办法》。
现印发给你们,请认真贯彻执行。
公安部国家保密局国家密码管理局国务院信息工作办公室二〇〇七年六月二十二日信息安全等级保护管理办法第一章总则第一条为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规,制定本办法。
第二条国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。
第三条公安机关负责信息安全等级保护工作的监督、检查、指导。
国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。
《信息系统安全等级保护定级指南》修订要点解析
19
信息安全等级保护技术大会优秀论文
201 6 年 增 刊
当时的技术发展状况和等级保护工作需求相适应的。但近 几年来,随着云计算平台、物联网和工业控制系统等新形 态的等级保护对象不断涌现, 原定义内涵的局限性日益显现, 无法全面覆盖当前的等级保护工作对象,因此本次修订将 等级保护对象的定义修订为 : “网络安全等级保护的保护对 象, 主要包括基础信息网络、 信息系统、 大数据、 云计算平台、
201 6 年 增 刊
信息安全等级保护技术大会优秀论文
《信息系统安全等级保护定级指南》 修订要点解析
李明 1,2,曲洁 1,2
(1. 公安部信息安全等级保护评估中心,北京 100142 ; 2. 信息安全等级保护关键技术国家工程实验室,北京 100142)
摘 要 : 《信息安全技术 信息系统安全等级保护定级指南》 (GB/T 22240-2008)是国家网 络安全等级保护标准体系的核心标准之一,该标准有力推动了我国网络安全等级保护工作的开 展。面对不断涌现的云计算、大数据、物联网等新技术新应用对定级工作提出的挑战,标准编 制单位对 GB/T 22240 - 2008 进行了修订和完善,以满足新形势下等级保护定级工作的需要。 文章从标准名称、等级保护对象内涵、定级流程和关键环节等方面对已完成的标准草案修订内 容进行重点解析,从而帮助备案单位更好地理解和把握修订后的标准要求,科学、合理地完成 定级工作。 关键词 : 网络安全等级保护 ; 等级保护对象 ; 安全保护等级 ; 定级 中图分类号 : TP309 文献标识码 : A
[6] 物联网、 工业控制系统、 使用移动互联技术的信息系统等” 。
4 定级流程
对于定级流程,2008 版标准主要关注如何从业务信息 和系统服务两个角度分析和确定安全保护级别,未能全生 命周期覆盖整个定级工作过程。本次修订工作依据国家等 级保护制度监管的要求 : “自主定级、专家评审、主管部门 审批和公安机关监督” ,补充和完善了定级工作流程,修订 后的定级工作主要环节包括 : 1)确定定级对象。对等级保护对象进行科学、合理 的划分,并确定最终的定级对象。 2) 初 步 确 定 等 级。 通 过 综 合 分 析 定 级 对 象 的 业 务 信息安 全和系统 服务 安 全, 初步确定 整 体安 全 保 护 等级。 3)专家评审。初步定级完成后,定级对象的运营、使 用单位或主管单位可组织网络安全专家和行业业务专家对 初步定级结果的合理性进行评审,并出具评审意见。 4)主管部门审核。专家评审完成后, 定级对象的运营、 使用单位应将初步定级结果上报行业主管部门或上级主管 部门进行审核。 5)公安机关备案审查。定级对象的运营、使用单位 应按照相关管理规定将初步定级结果提交公安机关进行备 案审查。
信息系统安全等级保护培训课件(PPT 36页)
区域边界保护
保护计算环境
保护计算环境
实现集中安全管理
落实安全管理措施
三级系统安全管理措施
- 建立全面的安全管理制度,并安排专人负责并监控执行情况; - 建立全面的人员管理体系,制定严格的考核标准 - 建设过程的各项活动都要求进行制度化规范,按照制度要求进行 活动的开展 - 实现严格的保密性管理 - 成立安全运维小组,对安全维护的责任落实到具体的人 - 引入第三方专业安全服务
物理安 • 需要到物理机房实地检查,请提前申请进入机房的相关手续,并协调查看机房管理相关管理记录 全
网络安 • 需要登录网络设备、安全设备检查相关配置及漏洞扫描,请分配可接入的网络端口及地址,提供配置文件
全 主机安 • 需要登录相关主机设备检查相关配置及漏洞扫描,请分配可接入的网络端口及地址 全 应用安 • 请提供应用系统访问地址,以及访问该应用所需的网络地址,帐户名称、口令以及其它鉴别方式所需软硬件设备 全
分级保护系列标准规范
《涉及国家秘密的计算机信息系统分级保 护技术要求》BMB17-2006 《涉及国家秘密计算机信息系统安全保密 方案设计指南》 BMB23-2008 涉密信息系统安全保障建设 《涉及国家秘密计算机信息系统分级保护 指南 管理规范》BMB20-2007 《涉及国家秘密的信息系统分级保护测评 指南》BMB22—2007 《涉及国家秘密计算机信息系统分级保护 管理办法 》国家保密局16号
管理制 • 请提供安全管理制度电子档或纸质版本,以及相关记录文件
度
1、最灵繁的人也看不见自己的背脊。——非洲 2、最困难的事情就是认识自己。——希腊 3、勇猛、大胆和坚定的决心能够抵得上武器的精良。——达· 芬奇 4、与肝胆人共事,无字句处读书。——周恩来 5、一个人即使已登上顶峰,也仍要自强不息。——罗素· 贝克 6、一切节省,归根到底都归结为时间的节省。——马克思 7、自知之明是最难得的知识。——西班牙 8、勇气通往天堂,怯懦通往地狱。——塞内加 9、有时候读书是一种巧妙地避开思考的方法。——赫尔普斯 10、阅读一切好书如同和过去最杰出的人谈话。——笛卡儿 11、有勇气承担命运这才是英雄好汉。——黑塞 12、只有把抱怨环境的心情,化为上进的力量,才是成功的保证。——罗曼· 罗兰 13、知人者智,自知者明。胜人者有力,自胜者强。——老子 14、意志坚强的人能把世界放在手中像泥块一样任意揉捏。——歌德 15、最具挑战性的挑战莫过于提升自我。——迈克尔· F· 斯特利 16、业余生活要有意义,不要越轨。——华盛顿 17、意志是一个强壮的盲人,倚靠在明眼的跛子肩上。——叔本华 18、最大的挑战和突破在于用人,而用人最大的突破在于信任人。——马云 19、我这个人走得很慢,但是我从不后退。——亚伯拉罕· 林肯 20、要掌握书,莫被书掌握;要为生而读,莫为读而生。——布尔沃 21、要知道对好事的称颂过于夸大,也会招来人们的反感轻蔑和嫉妒。——培根 22、业精于勤,荒于嬉;行成于思,毁于随。——韩愈 23、最大的骄傲于最大的自卑都表示心灵的最软弱无力。——斯宾诺莎 24、知之者不如好之者,好之者不如乐之者。——孔子 25、学习是劳动,是充满思想的劳动。——乌申斯基 26、要使整个人生都过得舒适、愉快,这是不可能的,因为人类必须具备一种能应付逆境的态度。——卢梭 27、越是无能的人,越喜欢挑剔别人的错儿。——爱尔兰 28、意志命运往往背道而驰,决心到最后会全部推倒。——莎士比亚 29、越是没有本领的就越加自命不凡。——邓拓 30、阅读使人充实,会谈使人敏捷,写作使人精确。——培根
信息安全等级保护的5个级别
信息安全等级保护的5个级别信息安全是当今社会中不可忽视的重要问题,随着互联网技术的发展和普及,信息安全问题也日益凸显。
为了更好地保护信息安全,不同的信息系统需要根据其特点和重要性采取不同的安全等级保护措施。
在我国,信息安全等级保护分为5个级别,分别是一级、二级、三级、四级和五级。
下面将逐级介绍这5个级别的信息安全等级保护标准。
一级信息安全等级保护是指对一般信息系统的保护要求,主要针对一般的商业信息系统和政府信息系统。
在一级保护中,主要的安全措施包括对系统的基本管理、网络安全防护、数据备份和恢复等方面的要求。
一级信息安全等级保护要求相对较低,适用于一般的商业和政府信息系统。
二级信息安全等级保护是在一级的基础上进一步提高了安全保护的要求,主要针对一些重要的商业信息系统和政府信息系统。
在二级保护中,除了满足一级保护的要求外,还需要加强对系统的访问控制、数据加密、安全审计等方面的保护措施。
二级信息安全等级保护适用于一些对信息安全要求较高的商业和政府信息系统。
三级信息安全等级保护是在二级的基础上进一步提高了安全保护的要求,主要针对一些非常重要的商业信息系统和政府信息系统。
在三级保护中,除了满足二级保护的要求外,还需要加强对系统的身份认证、安全通信、安全管理等方面的保护措施。
三级信息安全等级保护适用于一些对信息安全要求非常高的商业和政府信息系统。
四级信息安全等级保护是在三级的基础上进一步提高了安全保护的要求,主要针对一些非常重要的商业信息系统和政府信息系统。
在四级保护中,除了满足三级保护的要求外,还需要加强对系统的安全审计、安全管理、应急响应等方面的保护措施。
四级信息安全等级保护适用于一些对信息安全要求非常高的商业和政府信息系统。
五级信息安全等级保护是在四级的基础上进一步提高了安全保护的要求,主要针对一些绝对重要的商业信息系统和政府信息系统。
在五级保护中,除了满足四级保护的要求外,还需要加强对系统的安全评估、安全认证、安全监控等方面的保护措施。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
由国家授权的技术检测机构通过 技术检测来进行评定。技术检测机构 需取得国家主管部门的技术资质和授 权后,方可从事信息网络安全等级保 护的技术检测。
3、 信息系统安全等级保护制度实施方法
计划在五年左右的时间在全 国范围内分三个阶段实施信息安 全等级保护制度:
制; 第五是突Hale Waihona Puke 保护重点,国家优先重点保护涉及国计民
生的信息系统,国家基础信息网络和重要信息系统内 分级重点保护三级以上的局域网和子系统安全; 第六是具有整体保护性,在突出重点,兼顾一般的原 则下,着重加强重点、要害部位,由点到面进行保护, 逐步实现信息安全整体保障。
2、建立国家信息安全等级保护机制
3、 信息系统安全等级保护制度实施方法 首先,公安、国家保密、国家密码
管理、技术监督、信息产业等国家有关 信息网络安全的行政主管部门要在国家 信息化领导小组的统一领导下,制定我 国开展信息网络安全等级保护工作的发 展政策,统一制定针对不同安全保护等 级的管理规定和技术标准,对不同信息 网络确定不同安全保护等级和实施不同 的监督管理措施,既包括依法进行行政 监督、检查和指导,也包括依据国家技 术标准进行的技术检查和评估。
3、 信息系统安全等级保护制度实施方法
其次,等级保护坚持“谁主 管、谁负责;谁经营、谁负责; 谁建设、谁负责;谁使用、谁负 责。”的原则。
3、 信息系统安全等级保护制度实施方法
第三,等级保护实行“国家 主导;重点单位强制,一般单位 自愿;高保护级别强制,低保护 级别自愿”的监管原则。
3、 信息系统安全等级保护制度实施方法
实现比较完整的安全保护,并通过安全审计机制,使其 它安全机制间接地相连接,使信息免遭非授权的泄露和 破坏,保证一定安全的系统服务。
在安全管理方面,第二级要求建立必要的信息系统 安全管理制度,对安全管理和执行过程进行计划、管理 和跟踪。根据实际安全需求,明确机构和人员的相应责 任。
5 等级化系统的建设
贯彻27号文件 积极推进信息系统等级建设
朱建平
公安部信息安全等级保护评估中心
目录
1 等级保护是国家基本政策 2 建立国家信息安全等级保护机制 3 信息系统安全等级保护制度实施方法 4 等级化系统的建设
1、等级保护是国家基本政策
27号文件进一步明确了我国的基 础信息网络和关系国家安全、经 济命脉、社会稳定等方面的重要 信息系统实行等级保护制度;
2、建立国家信息安全等级保护机制
4.结果控制:建立非盈利并能够覆盖全国的系 统安全等级保护的执法检查与评估体系,使用统 一标准和工具开展系统安全等级保护检查评估工 作。
5.监督管理:公安机关依法行政,督促安全等 级保护责任制的落实,以等级保护标准监督、检 查、指导基础信息网络和重要信息系统安全等级 保护建设、管理。对安全等级技术产品实行监管, 对监测评估机构实施监管。政府其他职能部门应 当认真履行职责,依法行政,按职责开展信息安 全等级保护专项制度建设工作,完善信息安全监 督体系。
5 等级化系统的建设
等级保护第四级
第四级安全的信息系统具备对信息和系统进行基于 安全策略强制的整体的安全保护能力。
在技术方面,物理隔离,第四级要求采用结构化设 计方法,按照完整的安全策略模型,实现各层面相结合 的强制性的安全保护,使数据信息免遭非授权的泄露和 破坏,保证高安全的系统服务。
在安全管理方面,第四级要求建立持续改进的信息 系统安全管理体系,在对安全管理过程进行规范化定义, 并对过程执行实施监督和检查的基础上,具有对缺陷自 我发现、纠正和改进的能力。根据实际安全需求,采取 安全隔离措施,限定信息系统规模和应用范围。建立安 全管理机构,配备专职安全管理人员,落实各级领导及 相关人员的责任。
2.管理与技术规范:制定符合国情的标准,建立 等级保护体系;
3.实施过程控制:明确落实系统拥有者的安全 责任制,系统拥有者按法律规定和安全等级标准的 要求进行信息系统的建设和管理,并承担应急管理 责任,在信息系统生命周期内进行自管、自查、自 评,建立安全管理体系。安全产品的研发者提供符 合安全等级标准要求的技术产品。
1、准备阶段 2、试行阶段 3、全面实行阶段
4、 等级化系统的建设
信息系统等级的划分方法(自主评 级)
实施步骤:
业务影响分析、划分子系统 确定子系统边界 确定安全保护等级 子系统间访问关系的模型化 安全风险分析与控制措施调整 确定系统保护安全计划 系统等级和安全计划的批准
5 等级化系统的建设
等级保护第一级 第一级安全的信息系统具备对信息和系统进行基本
国家实行信息安全等级保护,必须紧紧 抓住抓好五个关键环节,形成长效信息安全 等级保护运行机制。国家信息安全等级保护 制度运行机制有以下关键环节构成:
1.法律规范
2.管理与技术规范 3.实施过程控制 4.结果控制 5.监督管理。
2、建立国家信息安全等级保护机制
1.法律规范:国家制定和完善信息安全等级保 护政策、法律规范以及组织实施规则和方法,完善信 息安全保护法律体系;
等级保护第三级 第三级安全的信息系统具备对信息和系统进行基于
安全策略强制的安全保护能力。 在技术方面,第三级要求按照完整的安全策略模型 ,
实施强制性的安全保护,使数据信息免遭非授权的泄露 和破坏,保证较高安全的系统服务。
在安全管理方面,第三级要求建立完整的信息系统 安全管理体系,对安全管理过程进行规范化的定义,并 对过程执行实施监督和检查。根据实际安全需求,建立 安全管理机构,配备专职安全管理人员,落实各级领导 及相关人员的责任 。
同时要求等级保护工作需要各部 门根据职能分工、协同配合。
1、等级保护是国家基本政策
信息安全等级保护是《中华人民共和国计算机信息系 统安全保护条例》规定的法定保护制度,具有强制性;
第二是以国家制度推进信息和信息系统安全保护责任 的落实;
第三是符合客观实际,具有科学性; 第四是具有自我保护与国家保护相结合的长效保护机
保护的能力。 在技术方面,第一级要求设置基本的安全功能,使
信息免遭非授权的泄露和破坏,能保证基本安全的系统 服务。
在安全管理方面,第一级要求根据机构自身安全需 求,为信息系统正常运行提供基本的安全管理保障。
5 等级化系统的建设
等级保护第二级 第二级安全的信息系统具备对信息和系统进行比较
完整的系统化的安全保护能力。 在技术方面,第二级要求采用系统化的设计方法,