信息安全等级保护体系解读
信息安全等级保护体系解读
信息系统安全等级保护基础要求定级细则
信息系 统安全 等级保 护测评 过程指 南
信息
实 信息安全等级保护 法
状 安全建设整改工作 指
况
导
分
安全要求
析
信息系统安全等级保护基础要求行业细则
信息系统安全等级保护基础要求
信息系 统安全 等级保 护实施 指南
第10页
信息安全等级保护—定级
定义
由信息系统运行单位确定信息系统安全保护等级。
1
2
3
由运行单位业务部 门确定实施信息安 全等级保护信息系 统。
参考定级标准和流 程取得信息等级安 全保护等级信息。
最终形成信息系统 安全保护等级确认 汇报。
信息安全等级保护体系解读
第11页
定级参考信息
业务信息安全保护等级矩阵表
边界防护
安全审计
防雷/火/水/潮
访问控制
入侵防范
防静电
入侵防范
恶意代码防范
温湿度控制
恶意代码防范
资源控制
电力供应
安全设计
电磁防护
集中管控
信息安全等级保护体系解读
应用和数据安全
身份鉴别
访问控制
安全审计
软件容错
资源控制
数据完整性
数据保密性
数据备份恢复
剩余信息保护
个人信息保护
第20页
经典等级保护安全技术方案
《关于加 强国家电 子政务工 程建设项 目信息安 全风险评 定工作通 知》(发 改高技 []2071号)
《关于推 进信息安 全等级保 护测评体 系建设和 开展等级 测评工作 通知》 (公信安 303号文)
关于印发 《信息系 统安全等 级测评汇 报模版 (试行)》 通知(公 信安 []1487号)
信息安全等级保护制度
感谢您的观看
T测技术
通过部署监测设备,实时监测网络 流量和安全事件,及时发现并处置
网络安全威胁。
数据加密技术
通过加密算法对数据进行加密处理 ,保护数据的安全性和完整性。
安全审计技术
通过审计系统对网络流量和安全事 件进行审计,发现并纠正可能存在 的安全问题。
信息安全等级保护制度的应急响应技术
等级划分
根据信息和信息载体的重要性,一般将信息安全等级划分为 五级,分别是一级、二级、三级、四级和五级。每个级别都 有相应的保护要求和措施。
等级保护制度的基本原则
统一规划、分级实施
信息安全等级保护制度要求对信息和信息载体进行统一规划,并 按照分级原则进行实施。
全面覆盖、突出重点
信息安全等级保护制度要求对所有重要信息和信息载体进行全面 覆盖,同时突出重点,对关键信息基础设施实行重点保护。
定义
信息安全等级保护制度是对信息和信息载体按照重要性等级分级别进行保护 的一种工作机制。
重要性
信息安全等级保护制度旨在保障国家关键信息基础设施的安全运行,降低信 息和数据泄露的风险,维护社会稳定和公共利益。
等级保护制度的法规要求
法规依据
信息安全等级保护制度主要依据《中华人民共和国网络安全 法》、《信息安全等级保护管理办法》等法律法规制定。
要点二
实施过程
在信息安全等级保护制度下,大型企 业根据自身业务特点和安全风险评估 结果,将信息系统划分为不同的安全 等级,并制定相应的安全管理制度。 同时,还加强了对合作伙伴的安全管 理和风险控制。
要点三
效果评估
通过信息安全等级保护制度的实施, 大型企业有效地降低了信息安全风险 ,保障了客户信息和资金的安全。同 时,也提高了企业形象和市场竞争力 。
如何理解信息安全等级保护与分级保护
如何理解信息安全等级保护与分级保护《电信交换》2009年第2期如何理解信息安全等级保护与分级保护徐苏(电信科学技术第十研究所陕西西安710061)摘要:信息安全保护分级、分区域、分类、分阶段是做好国家信息安全保护应遵循的准则。
国家信息安全等级保护与涉密信息系统分级保护是两个既联系又有区别的概念。
国家安全信息等级保护,重点保护的对象是非涉密的涉及国计民生的重要信息系统和通信基础信息系统;涉密信息系统分级保护是国家信息安全等级保护的重要组成部分,是等级保护在涉密领域的具体体现。
关键字:国家信息安全公众信息国家秘密信息等级保护分级保护在日常工作中和为用户提供服务的过程中,什么是信息系统等级保护?什么是涉密信息系统分级保护?这两者之间有什么关系?那些系统需要进行等级保护?涉密信息系统如何分级?这是时常困扰我们的问题。
一、信息系统等级保护1999年国家发布并于2001年1月1日开始实施GB17859《计算机信息系统安全保护等级划分准则》。
2003年,中办、国办转发《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号),提出实行信息安全等级保护,建立国家信息安全保障体系的明确要求。
2004年9月17日,公安部、国家保密局、国家密码管理委员会办公室、国务院信息办下发了《关于信息安全等级保护工作的实施意见》,明确了信息安全等级保护的重要意义、原则、基本内容、工作职责分工、要求和实施计划。
2006年1月17日,四部门又下发了《信息安全等级保护管理办法(试行)》,进一步确定职责分工,明确了公安机关负责全面工作、国家保密工作部门负责涉密信息系统、国家密码管理部门负责密码工作、国务院信息办负责的管理职责和要求。
涉及国家秘密的信息系统应当依据国家信息安全等级保护的基本要求,按照国家保密工作部门涉密信息系统分级保护的管理规定和技术标准,结合系统实际情况进行保护。
由于信息系统结构是应社会发展、社会生活和工作的需要而设计、建立的,是社会构成、行政组织体系的反映,因而这种系统结构是分层次和级别的,而其中的各种信息系统具有重要的社会和经济价值,不同的系统具有不同的价值。
信息系统安全等级保护标准体系
信息系统安全等级保护标准体系信息系统安全等级保护标准体系是指根据《中华人民共和国网络安全法》和《信息系统安全等级保护管理办法》,结合国家信息安全等级保护标准,对信息系统按照其承载信息的重要性和保密等级,划分为不同的安全等级,并对不同安全等级的信息系统提出相应的安全保护要求和措施的一套标准体系。
信息系统安全等级保护标准体系的建立和实施,对于保障国家重要信息基础设施和关键信息系统的安全运行,维护国家安全和社会稳定,具有重要意义。
首先,信息系统安全等级保护标准体系的建立,能够有力地提高国家信息系统的整体安全水平。
通过对信息系统进行安全等级划分和分类管理,可以根据信息系统承载的信息重要性和保密等级,有针对性地制定相应的安全保护要求和措施,从而有效地提高信息系统的安全性和可靠性。
其次,信息系统安全等级保护标准体系的建立,有利于加强对关键信息基础设施和关键信息系统的保护。
针对国家重要信息基础设施和关键信息系统,可以通过严格的安全等级划分和保护要求,加强对其安全运行的监测和管理,有效地防范和应对各类网络安全威胁和风险,确保其安全稳定运行。
此外,信息系统安全等级保护标准体系的建立,有助于促进信息系统安全保护工作的规范化和标准化。
通过统一的安全等级划分标准和保护要求,可以使各类信息系统的安全保护工作更加规范和标准化,为相关安全管理和技术人员提供明确的指导和依据,提高安全管理工作的科学性和有效性。
总的来说,信息系统安全等级保护标准体系的建立和实施,对于提高信息系统整体安全水平,加强关键信息基础设施和关键信息系统的保护,促进安全保护工作的规范化和标准化,都具有重要意义和价值。
希望各相关单位和部门能够充分重视信息系统安全等级保护标准体系的建设和实施,切实加强对信息系统安全的管理和保护,共同维护国家信息安全和社会稳定。
信息安全等级保护详解
信息系统安全测评
管理体系不同 等级保护 公安机关 国家标准 (GB、GB/T) 各种信息系统 第一级:自主保护级 第二级:指导保护级 第三级:监督保护级 第四级:强制保护级 第五级:专控保护级 各级等级保护测评机构和部门
标准体系不同 保护对象不同
级别划分不同
评估队伍不同
等级保护之十大标准
3
等级保护标准系列的逻辑关系
等级保护
划分准则
GB/T 20269 安全管理
定级指南
GB/T 20282 安全工程管理 GB/T 20270 网络基础
实施指南
基本要求
技术设计要求
GB/T 20271 通用安全技术 GB/T 20272 操作系统
测评要求 测评过程指南
GB/T 20273 数据库 GB/T 20984 风险评估
8
一级 9 9 6 7 2 3 4 7 20 18 85 /
二级 19 18 19 19 4 7 9 11 28 41 175 90
三级 32 33 32 31 8 11 20 16 45 62 290 115
四级 33 32 36 36 11 14 20 18 48 70 318 28
管理要求
合计 级差
保护能力
技术要求+管理要求
制度、机构、人员、建设、运维 制度、机构、人员、建设、运维
整体安全保护能力
纵深防御、互补关联、强度一致、 纵深防御、互补关联、强度一致、 平台统一、集中安管 平台统一、集中安管 业务信息安全类要求 S 系统服务保证类要求 A 通用安全保护类要求 通用安全保护类要求 G G 安全类 安全类 关键控制点 关键控制点 具体要求项 控制强度
数据有效性检验、部分运行保护
信息安全等级保护政策体系-
第2部分
信息安全等级保护政策体系和标准体系
5.信息安全等级保护主要标准简要说明
(1)《计算机信息系统安全保护等级划分准则》(GB17859—1999) 1)主要作用 规范和指导计算机信息系统安全保护有关标准的制定; 为安全产品的研究开发提供技术支持; 为监督检查提供依据。 2)主要内容 界定计算机信息系统基本概念; 信息系统安全保护能力五级划分; 从自主访问控制、强制访问控制、标记、身份鉴别、客体重用、审计、数据完整性、隐蔽信道分析、 可信路径、可信恢复等十个方面, 采取逐级增强的方式提出了计算机信息系统的安全保护技术要求。 3)使用说明
统安全管理要求》的有关内容, 在设计建设整改方案时可参考。 按照整体安全的原则, 综合考虑安全保护措施。
第2部分
信息安全等级保护政策体系和标准体系
5.信息安全等级保护主要标准简要说明
(2)《信息系统安全等级保护基本要求》(GB/T22239—2008) 使用说明 业务信息安全类(S 类)——关注的是保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未 授权的修改。 系统服务安全类(A 类)——关注的是保护系统连续正常的运行, 避免因对系统的未授权修改、破坏而 导致系统不可用。 通用安全保护类(G 类)——既关注保护业务信息的安全性, 同时也关注保护系统的连续可用性。
2.信息安全等级保护标准体系
(1)信息安全等级保护相关标准类别 产品类标准 1)操作系统 《操作系统安全技术要求》(GB/T 20272—2006) 《操作系统安全评估准则》(GB/T 20008—2005) 2)数据库 《数据库管理系统安全技术要求》(GB/T 20273—2006) 《数据库管理系统安全评估准则》(GB/T 20009—2005)
安全管理制度评审、人员 安全和系统建设过程管理
信息安全等级保护与整体解决方案介绍
02
信息安全等级保护体系
信息安全等级保护体系框架
01
02
03
组织结构
明确各级组织在信息安全 等级保护体系中的角色和 职责,建立完善的安全管 理责任体系。
安全管理
制定和实施安全管理制度 、流程和策略,确保信息 系统的安全运行。
安全技术
采用先进的安全技术手段 ,如加密、防火墙、入侵 检测等,以保护信息系统 免受攻击和破坏。
《中华人民共和国网络安全法》 明确规定了信息安全等级保护的 责任和义务,对网络运营者、网 络产品和服务提供者等提出了具
体要求。
行政法规
国务院《关于加强网络信息保护 的决定》等行政法规进一步细化 了信息安全等级保护的具体要求
和措施。
地方法规
各省市也相继出台了相关的地方 法规和政策,如《XX省网络安全
管理条例》等。
技术架构特点
我们的技术架构具有以下特点:分层次、模块化、开放性、可扩展性、可定制 性。
解决方案的实施流程
实施流程设计
我们的解决方案实施流程包括项目立项 、需求分析、设计开发、测试验收、上 线运行五个阶段。每个阶段都有明确的 任务和目标,确保项目的顺利进行。
VS
实施流程特点
我们的实施流程具有以下特点:标准化、 可操作性强、易于管理、可控性高。
通过信息安全等级保护实践,大型 企业提高了信息系统的安全性和可 靠性,保障了企业的商业机密和客 户信息的安全,提高了企业的市场 竞争力。
05
总结与展望
总结
信息安全等级保护概述
信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作。它涉及到信息安全的各个方面, 包括数据的保密性、完整性、可用性等。
信息系统安全等级保护原理及应用
信息系统安全等级保护原理及应用1.等级划分:等级划分是基于信息系统中的资源重要性和敏感程度的评估,将信息系统划分为多个等级。
通常,信息系统等级划分为4个等级,分别是一级、二级、三级和四级。
等级划分主要考虑的因素包括信息资产的价值、涉及的业务功能、系统关键性以及系统对社会、国家的影响等。
2.等级保护:等级保护是根据信息系统的安全等级要求,采取相应的技术措施和管理措施,确保信息系统的安全运行。
等级保护需要从不同的角度进行保护,包括物理安全、网络安全、应用安全和数据安全等。
在信息系统安全等级保护的应用中,主要包括以下几个方面。
1.安全等级评估:对信息系统进行安全等级评估是划分等级和确定相应保护措施的基础。
评估主要包括对系统的信息资产进行辨识和价值评估,根据评估结果确定信息系统的安全等级。
2.安全策略制定:对于不同等级的信息系统,需要制定相应的安全策略来保护信息系统的安全。
安全策略的制定包括制定安全规定、安全策略和安全控制措施等,确保信息系统的安全等级能够得到有效保证。
3.安全需求分析:在信息系统的开发和维护过程中,需要进行安全需求分析,明确系统对于安全控制的需求。
安全需求分析包括对系统的安全性能和安全功能进行分析和规划,确保系统能够满足相应的安全等级要求。
4.安全技术措施:信息系统安全等级保护需要采取一系列的技术措施来确保系统的安全。
技术措施主要包括物理安全措施、网络安全措施、应用系统安全措施、密码学技术等,通过技术措施来提高系统的安全性。
5.安全管理措施:除了技术措施外,信息系统安全等级保护还需要采取一系列的管理措施来保护系统的安全。
管理措施包括安全培训、安全审计、安全访问控制、应急响应等,通过管理措施来提高系统的管理和运维的安全性。
综上所述,信息系统安全等级保护是一种基于等级划分的信息安全管理方法,通过对信息系统进行等级划分和等级保护,确保信息系统能够按照相应的安全等级要求进行安全运行。
在应用中,需要进行安全等级评估、安全策略制定、安全需求分析,采取安全技术和管理措施来确保系统的安全性。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
安全技术类
1.《信息系统等级保护安全设计技 术要求》 2.《信息安全技术网络基础安全技 术要求》(GB/T20270) 3.《信息安全技术信息系统安全通 用技术要求》(GB/T20271) 4.《信息安全技术信息系统物理安 全技术要求(GB/T21052) 5.《信息安全技术服务器安全技术 要求》(GB/T21028) 6.《信息安全技术操作系统安全技 术要求》(GB/T20272) 7.《信息安全技术数据库管理系统 安全技术要求》(GBT20273) 。。。。。。
信息安全产品
EAL1 EAL2 EAL3 EAL4 EAL5
信息安全事件
特别重大事件(I级) 重大事件(II级) 较大事件(III级) 一般事件(IV级)
信息系统安全保护等级的划分
等级 第一级 第二级
第三级
第四级 第五级
对象 一般系统
重要系统 极端重要系统
侵害客体
合法权益
合法权益
社会秩序和公 共利益
安全等级
现
方
状
信息安全等级保护
法
分
安全建设整改工作
指
析
导
安全要求
信息系统安全等级保护基本要求的行业细则
信息系统安全等级保护基本要求
信息系统 安全等级 保护实施 指南
信息系统 等级保护 安全设计 技术要求
技术类
信息系统通用安全技术要求 信息系统物理安全技术要求
网络基础安全技术要求 其它技术类标准
管理类
安全管理类
1.《信息安全技术信息系统安全管理 要求》(GB/T20269) 2.《信息安全技术信息系统安全工程 管理要求》(GB/T20282) 3.《信息技术安全技术信息安全事件 管理指南》(GB/Z20985) 4.《信息安全技术信息安全事件分类 分级指南》(GB/Z20986) 。。。。。。
等保2.0
• 为了适应移动互联、云计算、大数据、物联网和工业控制等新技术、新应用、情况下信息安全等级保护工作的开展, 需对GB/T 2239-2008进行修订
• 新等保系列标准目前主要有六个部分 GB/T 22239.1 信息安全技术 网络安全等级保护基本要求 第1部分 安全通用要求 GB/T 22239.2 信息安全技术 网络安全等级保护基本要求 第2部分 云计算安全扩展要求 GB/T 22239.1 信息安全技术 网络安全等级保护基本要求 第3部分 移动互联安全扩展要求 GB/T 22239.1 信息安全技术 网络安全等级保护基本要求 第4部分 物联网安全扩展要求 GB/T 22239.1 信息安全技术 网络安全等级保护基本要求 第5部分 工业控制安全扩展要求 GB/T 22239.1 信息安全技术 网络安全等级保护基本要求 第6部分 大数据安全扩展要求
《信息安全 等级保护备 案实施细则》 (公信安 [2007]1360 号)
《关于开展 信息安全等 级保护安全 建设整改工 作的指导意 见》(公信安 [2009]1429 号)
《关于加强国 家电子政务工 程建设项目信 息安全风险评 估工作的通知》 (发改高技 [2008]2071号)
《关于推动 信息安全等 级保护测评 体系建设和 开展等级测 评工作的通 知》(公信 安303号文)
信息系统运营、使用单位:
确定安全保护等级,安全保护的规划设计,定 级进行等保测评,建立信息安全事件应急响应 体系。
关于印发 《信息系统 安全等级测 评报告模版 (试行)》 的通知(公 信安 [2009]1487 号)
《公安机关 信息安全等 级保护检查 工作规范》 (公信安 [2008]736号)
《信息安全等级保护管理办法》(公通字[2007]43号)
《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)
社会秩序和公 共利益
国家安全
社会秩序和公 共利益
国家安全
国家安全
侵害程度 损害
严重损害 损害
严重损害 损害
特别严重损害 严重损害
特别严重损害
监管程度 自主保护 指导保护
监督检查
强制监督检查 专门监督检查
信息安全等级保护的政策和法律体
系
信息安全等级保护工作
定级
备案
整改
测评
检查
《关于开展 全国重要信 息系统安全 等级保护定 级工作的通 知》(公信 安[2007]861 号)
《中华人民共和国计算机信息系统安全保护条例》(国务院147 号令)
《国家信Байду номын сангаас化领导小组关于加强信息安全保障工作的意见》 (中办发[2003]27号)
信息安全等级保护技术和管理标准
体系
信息系统安全等级保护定级指南
信息系统安全等级保护基本要求的定级细则
信息系统 安全等级 保护测评 过程指南
信息系统 安全等级 保护测评 要求
信息安全等级保护体系解读
LOGO
内容概要
1
信息安全等级保护的定义
2
信息安全等级保护的内容
信息安全等级保护的定义
信息安全等级保护制度是我国信息安全工作保障工作的基本制度和基本国策,是开展 信息安全工作的基本方法,是促进信息化、维护国家信息安全的基本保障。
信息系统
第一级安全保护 第二级安全保护 第三级安全保护 第四级安全保护 第五级安全保护
信息安全等级保护工作的职责和角
色 公安机关:非涉密信息系统等级保护具体工
作的监督、检查、指导。 保密部门:涉密信息系统等保工作的监督、 检查、指导。 密码管理部门:密码工作的监督、检查、指 导。 国务院信息化工作办公室及地方信息化领导 小组办事机构:各部门间的工作协调。
行业主管部门:负责依照国家信息安全等级 保护的管理规范和技术标准,督促、检查和 指导本行业、本部门或者本地区信息系统运 营、使用单位的信息安全等级保护工作。
信息系统安全管理要求 信息系统安全工程管理要求
其它管理类标准
产品类
操作系统安全技术要求 数据库管理系统安全技术要求 网络和终端设备隔离部件安技术要求
其它产品类标准
计算机信息系统安全保护等级划分准则(GB17859)
信息安全等级保护所涉及的标准
通用类
1.《计算机信息系统安全等级保护划 分准则》(GB17859) 2.《信息系统安全等级保护实施指南》 (GB/T25058) 3.《信息安全技术信息系统安全等级 保护基本要求》(GB/T22239) 4.《信息安全技术信息系统安全保护 等级定级指南》(GB/T22240) 5.《信息安全技术信息系统安全等级 保护测评要求》 6.《信息安全技术信息系统安全等级 保护测评过程指南》 。。。。。。