信息安全等级保护体系解读
信息安全等级保护体系解读
信息系统安全等级保护基础要求定级细则
信息系 统安全 等级保 护测评 过程指 南
信息
实 信息安全等级保护 法
状 安全建设整改工作 指
况
导
分
安全要求
析
信息系统安全等级保护基础要求行业细则
信息系统安全等级保护基础要求
信息系 统安全 等级保 护实施 指南
第10页
信息安全等级保护—定级
定义
由信息系统运行单位确定信息系统安全保护等级。
1
2
3
由运行单位业务部 门确定实施信息安 全等级保护信息系 统。
参考定级标准和流 程取得信息等级安 全保护等级信息。
最终形成信息系统 安全保护等级确认 汇报。
信息安全等级保护体系解读
第11页
定级参考信息
业务信息安全保护等级矩阵表
边界防护
安全审计
防雷/火/水/潮
访问控制
入侵防范
防静电
入侵防范
恶意代码防范
温湿度控制
恶意代码防范
资源控制
电力供应
安全设计
电磁防护
集中管控
信息安全等级保护体系解读
应用和数据安全
身份鉴别
访问控制
安全审计
软件容错
资源控制
数据完整性
数据保密性
数据备份恢复
剩余信息保护
个人信息保护
第20页
经典等级保护安全技术方案
《关于加 强国家电 子政务工 程建设项 目信息安 全风险评 定工作通 知》(发 改高技 []2071号)
《关于推 进信息安 全等级保 护测评体 系建设和 开展等级 测评工作 通知》 (公信安 303号文)
关于印发 《信息系 统安全等 级测评汇 报模版 (试行)》 通知(公 信安 []1487号)
信息安全等级保护制度的主要内容和工作要求
码部门监管,造成信息系统出现重大安全事故的,要追 究单位和人员的责任。
二、等级保护政策体系和标准体系
(一)信息安全等级保护政策体系
近几年,公安部根据国务院147号令的授
权,会同国家保密局、国家密码管理局、发
改委、原国务院信息办出台了一些文件,公
安部和省厅对有些具体工作出台了一些指导 意见和规范,构成了信息安全等级保护政策 体系。 汇集成《信息安全等级保护工作汇 编》供有关单位、部门使用。
信息安全等级保护制度的
主要内容和工作要求
目
录
一、信息安全等级保护制度的主要内容 二、信息安全等级保护政策、标准体系 三、等级保护工作的具体内容和工作要求
一、等级保护制度的主要内容
(一)国家为什么要实施信息安全等级保 护制度
1.信息安全形势严峻
◆敌对势力的入侵、攻击、破坏
◆针对基础信息网络和重要信息系统的违法犯 罪持续上升 ◆基础信息网络和重要信息系统安全隐患严重
(三)等级保护制度的地位和作用
是国家信息安全保障工作的基本制度、基
本国策。
是开展信息安全工作的基本办法。 是促进国家信息化、维护国家信息安全 的
根本保障。
一、等级保护制度的主要内容
(四)实施等级保护制度的主要目的
◆明确重点、突出重点、保护重点 ◆有利于同步建设、协调发展。
◆
优化信息安全资源的配置。
一、等级保护制度的主要内容
2、《国家信息化领导小组关于加强信息安全 保障工作的意见》(中办发[2003]27号)规 定:要重点保护基础信息网络和关系国家 安全、经济命脉、社会稳定等方面的重要 信息系统,抓紧建立信息安全等级保护制
度,制定信息安全等级保护的管理办法和
信息安全等级保护制度
感谢您的观看
T测技术
通过部署监测设备,实时监测网络 流量和安全事件,及时发现并处置
网络安全威胁。
数据加密技术
通过加密算法对数据进行加密处理 ,保护数据的安全性和完整性。
安全审计技术
通过审计系统对网络流量和安全事 件进行审计,发现并纠正可能存在 的安全问题。
信息安全等级保护制度的应急响应技术
等级划分
根据信息和信息载体的重要性,一般将信息安全等级划分为 五级,分别是一级、二级、三级、四级和五级。每个级别都 有相应的保护要求和措施。
等级保护制度的基本原则
统一规划、分级实施
信息安全等级保护制度要求对信息和信息载体进行统一规划,并 按照分级原则进行实施。
全面覆盖、突出重点
信息安全等级保护制度要求对所有重要信息和信息载体进行全面 覆盖,同时突出重点,对关键信息基础设施实行重点保护。
定义
信息安全等级保护制度是对信息和信息载体按照重要性等级分级别进行保护 的一种工作机制。
重要性
信息安全等级保护制度旨在保障国家关键信息基础设施的安全运行,降低信 息和数据泄露的风险,维护社会稳定和公共利益。
等级保护制度的法规要求
法规依据
信息安全等级保护制度主要依据《中华人民共和国网络安全 法》、《信息安全等级保护管理办法》等法律法规制定。
要点二
实施过程
在信息安全等级保护制度下,大型企 业根据自身业务特点和安全风险评估 结果,将信息系统划分为不同的安全 等级,并制定相应的安全管理制度。 同时,还加强了对合作伙伴的安全管 理和风险控制。
要点三
效果评估
通过信息安全等级保护制度的实施, 大型企业有效地降低了信息安全风险 ,保障了客户信息和资金的安全。同 时,也提高了企业形象和市场竞争力 。
信息安全等级保护制度
信息安全等级保护制度信息安全等级保护制度是指通过对信息系统进行安全评估,根据其安全风险等级的不同,对相关信息进行分级保护的制度。
该制度的目的是保护信息系统的安全,防止信息泄露、被篡改或被破坏,确保关键信息的机密性、完整性和可用性。
下面将重点介绍信息安全等级保护制度的主要内容。
首先,信息安全等级保护制度的制定需要明确的技术和管理标准。
技术标准包括基础设施、网络安全、加密算法等方面的标准,用于评估信息系统的安全风险等级。
管理标准包括组织安全管理、风险管理、安全培训等方面的要求,用于规范信息系统的安全保护工作。
其次,制度还需要包括信息安全等级评估的程序和方法。
评估的程序主要包括评估前准备、信息收集、风险分析、等级划定、评估报告等环节。
评估的方法可以采用定性分析、定量分析或综合分析等不同的方法,根据实际情况选择合适的方法进行评估。
接着,制度还需要明确不同等级的信息安全保护要求。
根据评估结果,将信息系统划分为不同的安全等级,每个等级都有相应的安全保护要求。
例如,高等级的信息系统需要采取更加严格的措施来保护其安全,如加密通信、身份认证、访问控制等。
而低等级的信息系统则可以采取相对简单的措施来保护其安全。
最后,制度还需要明确信息安全等级的监督和管理机制。
监督和管理机制应包括对信息系统安全保护措施的检查和评估,对违规行为的处罚和处置,对信息系统安全事件的处理等。
此外,还需要建立相关的培训和宣传制度,提高员工对信息安全的认识和意识。
总之,信息安全等级保护制度是一项非常重要的制度,对于保护信息系统的安全起着关键的作用。
通过制定明确的技术和管理标准,并采用合适的评估方法,明确不同等级的安全保护要求,建立监督和管理机制,可以有效地提高信息系统的安全性,保护信息的机密性、完整性和可用性。
信息安全等级保护的5个级别
信息安全等级保护的5个级别
信息安全等级保护是现在信息技术发展的重要方面,它是指采取一定管理措施,确保信息系统以及信息资源安全,维护信息传输的完整性、机密性和可用性。
随着网络技术的发展,信息安全等级保护也在不断发展,并形成了五个级别。
首先,实施管理措施能够有效地改善信息安全等级保护。
这是最基本的信息安全等级保护的级别,要求实施有效的安全管理措施,以保护信息系统及信息资源,并且提供安全的网络环境。
其次,访问控制是提高信息安全等级保护的重要手段。
它要求对信息系统及信息资源的访问进行有效管控,以确保信息系统及信息资源的安全性。
三,安全审计是一种安全保护机制,它要求对信息系统及信息资源进行审计,以确保信息系统及信息资源的安全性。
第
四,安全配置管理是改善信息安全等级保护的重要措施,它要求对信息系统及信息资源的配置进行有效管控,以确保信息系统及信息资源的安全性。
最后,漏洞管理是一种信息安全等级保护的重要组成部分,它要求对信息系统及信息资源进行实时监控,以及及时发现和修复漏洞,以确保信息系统及信息资源的安全性。
总之,信息安全等级保护具有重要意义,它的等级越高,保护的安全性也越高。
上述五个级别是实施信息安全等级保护
的重要措施,它们能够有效地提高信息安全等级保护的实效性,以确保信息系统及信息资源的安全性。
因此,建议大家加强对信息安全等级保护的管理措施,确保信息系统及信息资源的安全性。
如何理解信息安全等级保护与分级保护
如何理解信息安全等级保护与分级保护《电信交换》2009年第2期如何理解信息安全等级保护与分级保护徐苏(电信科学技术第十研究所陕西西安710061)摘要:信息安全保护分级、分区域、分类、分阶段是做好国家信息安全保护应遵循的准则。
国家信息安全等级保护与涉密信息系统分级保护是两个既联系又有区别的概念。
国家安全信息等级保护,重点保护的对象是非涉密的涉及国计民生的重要信息系统和通信基础信息系统;涉密信息系统分级保护是国家信息安全等级保护的重要组成部分,是等级保护在涉密领域的具体体现。
关键字:国家信息安全公众信息国家秘密信息等级保护分级保护在日常工作中和为用户提供服务的过程中,什么是信息系统等级保护?什么是涉密信息系统分级保护?这两者之间有什么关系?那些系统需要进行等级保护?涉密信息系统如何分级?这是时常困扰我们的问题。
一、信息系统等级保护1999年国家发布并于2001年1月1日开始实施GB17859《计算机信息系统安全保护等级划分准则》。
2003年,中办、国办转发《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号),提出实行信息安全等级保护,建立国家信息安全保障体系的明确要求。
2004年9月17日,公安部、国家保密局、国家密码管理委员会办公室、国务院信息办下发了《关于信息安全等级保护工作的实施意见》,明确了信息安全等级保护的重要意义、原则、基本内容、工作职责分工、要求和实施计划。
2006年1月17日,四部门又下发了《信息安全等级保护管理办法(试行)》,进一步确定职责分工,明确了公安机关负责全面工作、国家保密工作部门负责涉密信息系统、国家密码管理部门负责密码工作、国务院信息办负责的管理职责和要求。
涉及国家秘密的信息系统应当依据国家信息安全等级保护的基本要求,按照国家保密工作部门涉密信息系统分级保护的管理规定和技术标准,结合系统实际情况进行保护。
由于信息系统结构是应社会发展、社会生活和工作的需要而设计、建立的,是社会构成、行政组织体系的反映,因而这种系统结构是分层次和级别的,而其中的各种信息系统具有重要的社会和经济价值,不同的系统具有不同的价值。
信息安全等级保护政策体系-
第2部分
信息安全等级保护政策体系和标准体系
5.信息安全等级保护主要标准简要说明
(1)《计算机信息系统安全保护等级划分准则》(GB17859—1999) 1)主要作用 规范和指导计算机信息系统安全保护有关标准的制定; 为安全产品的研究开发提供技术支持; 为监督检查提供依据。 2)主要内容 界定计算机信息系统基本概念; 信息系统安全保护能力五级划分; 从自主访问控制、强制访问控制、标记、身份鉴别、客体重用、审计、数据完整性、隐蔽信道分析、 可信路径、可信恢复等十个方面, 采取逐级增强的方式提出了计算机信息系统的安全保护技术要求。 3)使用说明
统安全管理要求》的有关内容, 在设计建设整改方案时可参考。 按照整体安全的原则, 综合考虑安全保护措施。
第2部分
信息安全等级保护政策体系和标准体系
5.信息安全等级保护主要标准简要说明
(2)《信息系统安全等级保护基本要求》(GB/T22239—2008) 使用说明 业务信息安全类(S 类)——关注的是保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未 授权的修改。 系统服务安全类(A 类)——关注的是保护系统连续正常的运行, 避免因对系统的未授权修改、破坏而 导致系统不可用。 通用安全保护类(G 类)——既关注保护业务信息的安全性, 同时也关注保护系统的连续可用性。
2.信息安全等级保护标准体系
(1)信息安全等级保护相关标准类别 产品类标准 1)操作系统 《操作系统安全技术要求》(GB/T 20272—2006) 《操作系统安全评估准则》(GB/T 20008—2005) 2)数据库 《数据库管理系统安全技术要求》(GB/T 20273—2006) 《数据库管理系统安全评估准则》(GB/T 20009—2005)
安全管理制度评审、人员 安全和系统建设过程管理
信息安全等级保护与整体解决方案介绍
02
信息安全等级保护体系
信息安全等级保护体系框架
01
02
03
组织结构
明确各级组织在信息安全 等级保护体系中的角色和 职责,建立完善的安全管 理责任体系。
安全管理
制定和实施安全管理制度 、流程和策略,确保信息 系统的安全运行。
安全技术
采用先进的安全技术手段 ,如加密、防火墙、入侵 检测等,以保护信息系统 免受攻击和破坏。
《中华人民共和国网络安全法》 明确规定了信息安全等级保护的 责任和义务,对网络运营者、网 络产品和服务提供者等提出了具
体要求。
行政法规
国务院《关于加强网络信息保护 的决定》等行政法规进一步细化 了信息安全等级保护的具体要求
和措施。
地方法规
各省市也相继出台了相关的地方 法规和政策,如《XX省网络安全
管理条例》等。
技术架构特点
我们的技术架构具有以下特点:分层次、模块化、开放性、可扩展性、可定制 性。
解决方案的实施流程
实施流程设计
我们的解决方案实施流程包括项目立项 、需求分析、设计开发、测试验收、上 线运行五个阶段。每个阶段都有明确的 任务和目标,确保项目的顺利进行。
VS
实施流程特点
我们的实施流程具有以下特点:标准化、 可操作性强、易于管理、可控性高。
通过信息安全等级保护实践,大型 企业提高了信息系统的安全性和可 靠性,保障了企业的商业机密和客 户信息的安全,提高了企业的市场 竞争力。
05
总结与展望
总结
信息安全等级保护概述
信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作。它涉及到信息安全的各个方面, 包括数据的保密性、完整性、可用性等。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
关于印发 《信息系 统安全等 级测评报 告模版 (试行)》 的通知 (公信安 [2009]1 487号)
《公安机 关信息安 全等级保 护检查工 作规范》 (公信安 [2008]7 36号)
《信息安全等级保护管理办法》(公通字[2007]43号)
《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)
测评报告编制
信息安全等级保护—检查 定义 公安机关网监部门定期对信息系统运营单位的信息安全等级
保护实施情况进行检查和监督。
1
2
3
第三级信息系统每 年一次; 第四级信息系统每 半年一次。
检查内容包括:定 级备案情况、安全 整改情况、安全管 理制度建设和落实 情况、测评实施情 况等。
由公安机关网监部 门出具检查报告或 整改通知书。
3.参照信息系统当前等 级要求和标准,对信息 系统进行整改加固。
1.确定信息系统的安全防护 等级,形成定级报告。
备案
整改
信息安全等级保护
定级
工作流程
检查
5.向当地公安机关网监部门提交 测评报告,配合完成对信息安全 等级保护实施情况的检查。
测评
4.委托具备测评资质的测评机 构对信息系统进行等级测评 ,形成正式的测评报告。
信息安全产品供应商: 开发符合等级保护相关要求的 信息安全产品,按照等级保护 相关要求销售信息安全产品并 提供相关服务。
信息安全服务机构: 协助信息系统运营、使用单位完 成安全保护等级、安全需求分析 、安全总体规划、实施安全建设 和安全改造等。
信息安全等级保护工作概述
2.持定级报告到当地公安 机关网监部门进行备案。
够主动发出一些动作,如报警、阻断等,网络设备的防护手段要求两种身份鉴别技术综合使用
使用范围 安全计算环境
公司、法人和其他组织的合法利益 社会秩序、公共利益 国家安全
对相应客体的侵害程度
一般损害
严重损害 特别严重损害
第一级
第二级
第二级
第二级
第三级
第四级
第三级
第四级
第四级
系统服务安全保护等级矩阵表
系统服务安全被破坏时所侵害的客体
公司、法人和其他组织的合法利益 社会秩序、公共利益 国家安全
对相应客体的侵害程度
安全等级
现
方
状 信息安全等级保护 法
分 安全建设整改工作 指
析
导
安全要求
信息系统安全等级保护基本要求的行业细则
信息系统安全等级保护基本要求
信息系 统安全 等级保 护实施 指南
信息系 统等级 保护安 全设计 技术要 求
技术类
信息系统通用安全技术要求 信息系统物理安全技术要求
网络基础安全技术要求 其它技术类标准
《中华人民共和国计算机信息系统安全保护条 例》(国务院147号令)
《国家信息化领导小组关于加强信息安全保障 工作的意见》(中办发[2003]27号)
信息安全等级保护技术和管理标准体系
信息系统安全等级保护定级指南 信息系统安全等级保护基本要求的定级细则
信息系 统安全 等级保 护测评 过程指 南
信息系 统安全 等级保 护测评 要求
信息安全等级保护—定级
定义
由信息系统运营单位确定信息系统的安全保护等级。
1
2
3
由运营单位业务部 门确定实施信息安 全等级保护的信息 系统。
参照定级标准和流 程获得信息等级的 安全保护等级信息。
最终形成信息系统 安全保护等级确认 报告。
定级参考信息
业务信息安全保护等级矩阵表
业务信息安全被破坏时所侵害的客体
等保2.0
❖ 为了适应移动互联、云计算、大数据、物联网和工业控制等新技术、新应用、情况 下信息安全等级保护工作的开展,需对GB/T 2239-2008进行修订
❖ 新等保系列标准目前主要有六个部分 GB/T 22239.1 信息安全技术 网络安全等级保护基本要求 第1部分 安全通用要 求 GB/T 22239.2 信息安全技术 网络安全等级保护基本要求 第2部分 云计算安全 扩展要求 GB/T 22239.1 信息安全技术 网络安全等级保护基本要求 第3部分 移动互联安 全扩展要求 GB/T 22239.1 信息安全技术 网络安全等级保护基本要求 第4部分 物联网安全 扩展要求 GB/T 22239.1 信息安全技术 网络安全等级保护基本要求 第5部分 工业控制安 全扩展要求 GB/T 22239.1 信息安全技术 网络安全等级保护基本要求 第6部分 大数据安全 扩展要求
一般损害
严重损害 特别严重损害
第一级
第二级
第二级
第二级
第三级
第四级
第三级
第四级
第四级
定级流程
1.确定定级对象
2.确定业务信息安全受 到破坏时所侵害的客体
3.综合评定对客体的侵害程度
4.业务信息安全等级(S)
5.确定系统服务安全受 到破坏时所侵害的客体
6.综合评定对客体的侵害程度
7.系统服务安全等级(A)
典型等级保护安全技术方案
等级保护二/三级关键点说明
二级
•技术方面 •安全审计、边界完整性检查、入侵防范、资源控制以及通信保密性控制点 •网络安全 •不仅要满足网络安全运行的基本保障,同时要考虑网络处理能力要满足业务极限时的需要 •加强了网络边界的防护,增加了安全审计、边界完整性检查、入侵防范等控制点 •对网络设备的防护不仅局限于简单的身份鉴别,同时对标识和鉴别信息都有了相应的要求
信息安全等级保护基本要求
技术要求
信息安全等级保护基本要求
管理要求
物理和环境安全 网络和通信安全 设备和计算安全 应用和数据安全
安全策略和管理制度 安全管理机构和人员
安全建设管理 安全运维管理 系统建设管理
物理和环境安全
物理位置的选择 物理访问控制 防盗窃和防破坏 防雷/火/水/潮
防静电 温湿度控制 电力供应 电磁防护
确定安全保护等级,安全保护的规 划设计,定级进行等保测评,建立 信息安全事件应急响应体系。
信息安全 等级保护
行业主管部门:负责依照国家信 息安全等级保护的管理规范和技 术标准,督促、检查和指导本行 业、本部门或者本地区信息系统 运营、使用单位的信息安全等级 保护工作。
测评机构: 对信息系统和信 息安全产品进行 等级保护测评, 出具测评结论。
国家安全
社会秩序和 公共利益
国家安全
国家安全
侵害程度 损害
严重损害 损害
严重损害 损害
特别严重损害 严重损害
特别严重损害
监管程度 自主保护 指导保护
监督检查
强制监督检查 专门监督检查
信息安全等级保护的政策和法律体系
信息安全等级保护工作
定级
备案
整改
测评
检查
《关于开 展全国重 要信息系 统安全等 级保护定 级工作的 通知》 (公信安 [2007]86 1号)
信息安全等级保护工作的职责和角色
公安机关:非涉密信息系统等级 保护具体工作的监督、检查、指 导。 保密部门:涉密信息系统等保工 作的监督、检查、指导。 密码管理部门:密码工作的监督 、检查、指导。 国务院信息化工作办公室及地方 信息化领导小组办事机构:各部 门间的工作协调。
信息系统运营、使用单位:
信息安全等级保护—整改 定义 按照信息系统已备案的等级Байду номын сангаас息,参照信息安全等级保护
基本要求,组织开展差距分析及整改加固的相关工作。
由信息系统运营 单位开展自查及 整改工作,不断 完善信息安全等 级保护的各项要 求。
委托具备测评资 质的测评机构开 展信息系统安全 等级保护差距分 析,配合运营单 位完成整改及安 全加固工作。
三级
•是等级保护二级要求的扩展加强 •三级要求主干链路冗余,设备性能有冗余 •技术方面 •网络恶意代码防范、剩余信息保护、抗抵赖 •访问控制增加了对重要新信息资源设置敏感标记,对身份鉴别、访问控制、安全审计、数据完整性、数据保
密等均有更进一步的要求 •网络安全 •对网络处理能力增加了“优先级”考虑,保证重要主机能够在网络拥堵时仍能狗正常运行 •网络边界的访问控制扩展到应用层,网络边界的其他防护措施进一步增强,不仅能够被动的“防”,还应能
测评实施流程
测
等级测评项目启动
评
准
信息收集与分析
备
活
工具和表单准备
动
测评对象确定
测评指标确定
方
案
测评内容确定
编
制
工具测评方法确定
沟
活 动
测评指导书开发
通
测评方案编制
与 洽
现 场
现场测评准备
谈
测
现场测评和结果记录
评
活
结果确认和资料归还
动
单项测评结果判定
报
单元测评结果判定
告
整体测评
编
制
风险分析
活 动
等保测评结论形成
管理类
信息系统安全管理要求 信息系统安全工程管理要求
其它管理类标准
产品类
操作系统安全技术要求 数据库管理系统安全技术要求 网络和终端设备隔离部件安技术要求
其它产品类标准
计算机信息系统安全保护等级划分准则(GB17859)
信息安全等级保护所涉及的标准
通用类
1.《计算机信息系统安全等 级保护划分准则》 (GB17859) 2.《信息系统安全等级保护 实施指南》(GB/T25058) 3.《信息安全技术信息系统 安全等级保护基本要求》 (GB/T22239) 4.《信息安全技术信息系统 安全保护等级定级指南》 (GB/T22240) 5.《信息安全技术信息系统 安全等级保护测评要求》 6.《信息安全技术信息系统 安全等级保护测评过程指南 》 。。。。。。