信息安全等级保护工作流程图
《信息安全等级保护》PPT课件
• 信息安全等级保护的关键所在正是基于信息系 统所承载应用的重要性,以及该应用损毁后带 来的影响程度来判断风险是否控制在可接受的 范围内。
精选PPT
6
原则
• 谁主管谁负责、谁运营谁负责 • 自主定级、自主保护、监督指导
精选PPT
7
主要流程
一是:定级。
二是:备案。
三是:系统建设、整改。
四是:等级测评。
• 对技术要求
– ‘访谈’方法:
• 目的是了解信息系统的全局性。 • 范围一般不覆盖所有要求内容。
– ‘检查’方法:
• 目的是确认信息系统当前具体安全机制和运行的配 置是否符合要求 。
• 范围一般要覆盖所有要求内容。
– ‘测试’方法:
• 目的是验证信息系统安全机制有效性和安全强度。
• 范围不覆盖所有要求内容。
– 第三级,信息系统受到破坏后,会对社会秩序和公共 利益造成严重损害,或者对国家安全造成损害。
– 第四级,信息系统受到破坏后,会对社会秩序和公共 利益造成特别严重损害,或者对国家安全造成严重损 害。
– 第五级,信息系统受到破坏后,会对国家安全造成特 别严重损害。
精选PPT
10
定级原理(2)
• 定级要素
精选PPT
22
22
关系2
一级系统
通信/边界(基本)
二级系统
通信/边界/内部(关键设备)
三级系统
通信/边界/内部(主要设备)
通信/边界/内部/基础设施(所有设备) 四级系统
精选PPT
23
23
关系3
一级系统
计划和跟踪(主要制度)
二级系统
计划和跟踪(主要制度)
良好定义(管理活动制度化) 三级系统
信息安全等级保护操作的指南和操作流程图
信息安全等级保护操作流程1信息系统定级1.1定级工作实施范围“关于开展全国重要信息系统安全等级保护定级工作的通知”对于重要信息系统的范围规定如下:(一)电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。
(二)铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。
(三)市(地)级以上党政机关的重要网站和办公信息系统。
(四)涉及国家秘密的信息系统(以下简称“涉密信息系统”)。
注:跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。
涉密信息系统的等级确定按照国家保密局的有关规定和标准执行。
1.2定级依据标准《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发【2003】27 号文件)《关于信息安全等级保护工作的实施意见》(公通字【2004】66号文件)《电子政务信息系统安全等级保护实施指南(试行)》(国信办【2005】25 号文件)《信息安全等级保护管理办法》(公通字【2007】43 号文件)《计算机信息系统安全保护等级划分准则》《电子政务信息安全等级保护实施指南》《信息系统安全等级保护定级指南》《信息系统安全等级保护基本要求》《信息系统安全等级保护实施指南》《信息系统安全等级保护测评指南》1.3定级工作流程信息系统调查确定定级对象定级要素分析编写定级报告协助定级备案• 网络拓扑调查• 资产信息调查• 服务信息调查• 系统边界调查• ……• 管理机构分析• 业务类型分析• 物理位置分析• 运行环境分析• ……• 业务信息分析• 系统服务分析• 综合分析• 确定等级• ……• 编写定级报告• ……• 协助评审审批• 形成最终报告• 协助定级备案图 1-1信息系统定级工作流程1.3.1信息系统调查信息系统调查是通过一系列的信息系统情况调查表对信息系统基本情况进行摸底调查,全面掌握信息系统的数量、分布、业务类型、应用、服务范围、系统结构、管理组织和管理方式等基本情况。
等级保护 实施流程 精品
等级保护实施流程
一、总体流程
对信息系统实施等级保护的基本流程见图1。
二、每个工作部分流程
1、信息系统定级阶段的工作流程见图2。
图1 信息系统安全等级保护实施的基本流程
输入 输出 主要过程 图2 信息系统定级阶段工作流程
2、总体安全规划阶段的工作流程见图3。
图3 总体安全规划工作流程 输入 输出
主要过程
3、实施阶段的工作流程见图4。
主要过程
输入输出
图4 安全设计与实施流程图
4、安全运行与维护阶段的工作流程见图5。
图5 安全运行与维护阶段的主要过程
输入 主要过程
输出
5、信息系统终止阶段的工作流程见图6。
输入主要过程输出
图6 信息系统终止阶段的工作流程
三、主要过程及其活动输出
注:* 标注的输出文件为比较重要的文件。
第7讲信息安全等级保护-PPT课件
第二级 审计安全保护
第三级 强制安全保护
第四级 结构化保护
隐蔽通道分析 系统审计 客体重用 可信恢复
第五级 访问验证保护级
强制访问控制 标记 可信路径
隐蔽通道分析
如何理解信息系统的五个安全保护等级
第一级:一般适用于小型私营、个体企业、中小学、乡镇所属信息 系统、县级单位中一般的信息系统。 第二级:一般适用于县级某些单位中的重要信息系统;地市级以上 国家机关、企事业单位内部一般的信息系统,如涉及工作秘密、商 业秘密、敏感信息的办公系统和管理系统等。 第三级:一般适用于地市级以上国家机关、企业、事业单位内部重 要的信息系统,例如涉及工作秘密、商业秘密、敏感信息的办公系 统和管理系统;跨省或全国联网运行的用于生产、调度、管理、指 挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的 分支系统;中央各部委、省(区、市)门户网站和重要网站;跨省 连接的网络系统等。 第四级:一般适用于国家重要领域、重要部门中的特别重要系统以 及核心系统。例如电力、电信、广电、铁路、民航、银行、税务等 重要部门的生产、调度、指挥等涉及国家安全、国计民生的核心系 统。 第五级:一般适用于国家重要领域、重要部门中的极端重要系统。
GB17859-2019 计算机信息系统安全保护等级划分准则
等级保护的技术标准规范
面向评估者技术标准:
《计算机信息系统安全保护等级划分准则》 (GB 17859-2019) 《信息安全技术 信息系统通用安全技术要求》 (GB/T 20271-2019)
《信息安全技术 操作系统安全技术要求》 (GB/T 20272-2019)
9 月 7日
中办国办发 中共中央办公厅 [2019]27号 国务院办公厅
等保服务流程及内容
等保服务内容及报价一、信息安全等级保护服务流程及内容信息安全等级保护服务分为定级备案咨询、安全建设规划、安全等级现状测评、信息系统安全整改咨询和信息安全等级测评五个阶段,各阶段工作内容如下:1. 定级备案咨询阶段:通过定级对象分析、定级要素分析,初步确定系统保护等级,协助召开定级专家咨询会议,确定系统保护等级,协助撰写定级报告、协助联络公安机关,完成定级备案工作。
2. 安全建设规划阶段:协助建设单位按照同步规划、同步建设、同步运行的原则,做好项目建设的安全规划。
3. 安全等级现状测评阶段:详实调研业务系统,了解系统边界、功能、服务范围、涉及部门、重要程度,全面进行差距分析和脆弱性评估;找出不足之处和安全漏洞,为等级保护体系设计提供客观依据;将根据之前的项目成果,制定合理安全管理措施和技术措施,形成等级化的信息安全保障体系。
4. 信息系统安全整改咨询阶段:依据脆弱性评估结果,弥补技术层面的安全漏洞;建立健全信息安全管理制度;根据前期信息安全保障体系设计方案,指导系统运维方落实相关安全保障措施。
5. 信息安全等级测评阶段:实施等级测评,以满足国家信息安全监管的相关政策要求。
等保服务在合同签订后1个月内完成项目的系统定级、安全建设规划。
在系统建设完成后2周内完成安全评估差距分析、整改建议等工作。
在系统整改完成后2周内完成信息安全等级测评工作,出具等保测评报告。
1定级备案咨询1.1工作内容(1)系统梳理网络拓扑调查:通过对系统网络拓扑结构的调查,确定各个网络安全域,分析网络拓扑结构安全。
资产信息调查:通过对资产信息的调查,确定系统中重要资产,比如服务器、核心交换机、边界防火墙、IDS等。
服务信息调查:通过对服务信息的调查,确定系统服务对象。
系统边界调查:通过对系统边界的调查,确定各子系统边界情况。
(2)定级对象分析业务类型分析:通过对业务类型的分析,确定各系统的重要性。
管理机构分析:通对管理机构的分析,确定安全管理机构设置的合理性。
信息系统安全等级保护定级备案测评流程图
信息系统安全等级保护法规与依据在信息系统安全等级保护定级备案、信息系统安全等级保护测评等方面测评依据如下:1、《中华人民国计算机信息系统安全保护条例》(国务院147号令)2、《信息安全等级保护管理办法》(公通字[2007]43号)3、GB/T 17859-1999《计算机信息系统安全保护等级划分准则》4、GB/T 20274《信息安全技术信息系统安全保障评估框架》5、GB/T 22081-2008《信息技术安全技术信息安全管理实用规则》6、GB/T 20271-2006《信息系统通用安全技术要求》7、GB/T 18336-2008《信息技术安全技术信息技术安全性评估准则》8、GB 17859-1999《计算机信息系统安全保护等级划分准则》9、GB/T 22239-2008《信息安全技术信息系统安全等级保护基本要求》10、GB/T 22240-2008《信息安全技术信息系统安全等级保护定级指南》11、《信息安全技术信息系统安全等级保护测评要求》12、《信息安全技术信息系统安全等级保护实施指南》13、《信息安全等级保护管理办法》信息系统安全等级保护定级备案流程1、定级原理信息系统安全保护等级根据等级保护相关管理文件,信息系统的安全保护等级分为以下五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
信息系统安全保护等级的定级要素信息系统的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。
2、等级保护工作各环节服务方案
等级保护工作开展参考资料文档说明1)目标对象:客户单位的信息主管/计算机信息系统运维管理人员2)文档功能:与客户一起探讨“信息安全等级保护工作开展”工作方法一.等级保护整体服务方案图 1 等级保护整体服务方案工作流程图等级保护的建设是个长期的过程,需要花费大量的时间、精力和财力,本着为用户服务的态度,“中国信息安全测评服务方华中测评服务中心”推出了等级保护专业服务,提供包括定级备案、差距分析、方案制订、实施、测评、检查等各个环节的服务,通过自身的安全产品、安全服务,可协助用户完成等级保护各个阶段的实施和建设,确保用户严格按照等级保护的过程规划并建设自己的安全保障体系,更好地支撑应用和业务的开展,为用户信息安全保障体系“保驾护航”。
测评服务方在等级保护各个阶段将协助用户完成上图的任务和工作。
具体包括:1)等级保护定级备案对信息系统进行划分,并根据信息系统的价值确定信息系统的保护等级,等级确定后测评服务方将协助用户完成保护等级的备案工作。
2)等级保护差距分析通过风险评估可以发现信息系统的安全现状与需要达到的安全等级或目标的差异,使信息系统的管理和使用单位可以在技术和管理方面进行有针对性的加强和完善,使单位的信息系统安全工作有的放矢。
3)等级保护整改建议方案测评服务方根据评估的结果和信息系统确认的保护等级,结合《信息系统安全等级保护基本要求》以及其它相关整改标准中对各级别信息系统的技术、管理和运维方面的要求,制定相应的安全保护措施,完成等级保护整改建议方案的设计。
依据公通字[2007]43号文的要求,信息系统定级工作完成后,运营、使用单位首先要按照相关的管理规范和技术标准进行安全建设和整改,使用符合国家有关规定、满足信息系统安全保护等级需求的信息技术产品,进行信息系统安全建设或者改建工作。
等级保护整改的核心是根据用户的实际信息安全需求、业务特点及应用重点,在确定不同系统重要程度的基础上,进行重点保护。
等级保护备案步骤、流程、文件
等级保护备案步骤、流程、⽂件等级保护备案步骤、流程、⽂件时代新威等级保护组2012年8⽉1备案需要什么资料2备案⼯作流程CONTENTS3如何受理备案⽬录4公安机关受理备案要求5定级不准怎么办附等级保护备案对外办理流程图等级保护备案内部流程图?等级保护1备案备案需要什么资料⼀、备案需要什么资料办理信息系统安全保护等级备案⼿续时,应当提交《信息系统安全等级保护备案表》。
⼆级及其以上的信息系统运⾏使⽤单位或主管部门在备案时需要提交如下资料:①信息系统安全等级保护定级报告纸质材料,⼀式两份;②信息系统安全等级保护备案表纸质材料,⼀式两份;③上述备案的电⼦档,并制作出光盘提交。
⼀、备案需要什么资料信息系统安全等级保护备案表主要由4张表单构成。
⼀、备案需要什么资料填表说明:⼀、备案需要什么资料表⼀为单位信息,每个填表单位填写⼀张;⼀、备案需要什么资料表⼆为信息系统基本信息,⼀、备案需要什么资料表三为信息系统定级信息,表⼆、表三的每个信息系统填写⼀张;⼀、备案需要什么资料表四为第三级以上信息系统需要同时提交的内容,由每个第三级以上信息系统填写⼀张,并在完成系统建设、整改、测评等⼯作,投⼊运⾏后三⼗⽇内向受理备案公安机关提交。
具体内容请参考附录《信息系统安全等级保护备案》。
⼀、备案需要什么资料第三级以上信息系统同时提供以下材料:(⼀)系统拓扑结构及说明;(⼆)系统安全组织机构和管理制度;(三)系统安全保护设施设计实施⽅案或者改建实施⽅案;(四)系统使⽤的信息安全产品清单及其认证、销售许可证明;(五)测评后符合系统安全保护等级的技术检测评估报告;(六)信息系统安全保护等级专家评审意见;(七)主管部门审核批准信息系统安全保护等级的意见。
等级保护2备案备案⼯作流程⼆、备案⼯作流程1、确定定级对象各⾏业主管部门、运营使⽤单位要组织开展对所属信息系统的摸底调查,全⾯掌握信息系统的数量、分布、业务类型、应⽤或服务范围、系统结构等基本情况,确定定级对象。