等保概述
信息安全等级保护制度
信息安全等级保护制度概述信息安全等级保护制度(简称“等保制度”)是中国政府在信息安全领域的重要措施之一,目的在于建立一套科学、合理、可有效执行的信息安全保护制度,减少信息安全风险并维护国家信息安全。
等保制度的核心是建立信息安全等级评估机制和信息安全等级保护措施。
等保等级等保制度是按照“等级+分类”的方式执行的,也就是将不同的信息系统分为不同的安全等级,给出相应的等保等级控制要求和技术要求。
根据国家标准《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2008),等保等级分为4个级别,从高到低分别是:一级、二级、三级、四级。
其中一级要求最高,四级要求最低。
不同等保等级的信息系统,需要采取不同的安全保护措施。
等保评估信息安全等级评估是指对信息系统的安全性进行全面评估,确定其实际受到的攻击威胁以及存在的安全风险,从而确定系统的等保等级。
等保评估是等保制度的核心环节,也是等保保护措施的依据。
等保评估分为两种类型:自我评估和第三方评估。
自我评估适用于等保一级、二级信息系统,第三方评估适用于等保三级、四级信息系统。
等保保护根据等保评估结果,完成等保系统以后需要进行等保保护工作。
等保保护工作包括物理安全措施、技术安全措施、管理安全措施三个方面。
其中物理安全措施主要是对硬件设备的保护,如安装门禁、监控等;技术安全措施是对软件设备的保护,如防火墙、入侵检测等;管理安全措施是对人员进行管理,如实施权限控制、制定密码规则等。
等保保护需要全面、周密地组织实施,保障对信息系统的全面保护,确保系统安全稳定可靠。
信息安全等级保护的意义等保制度是一项非常重要的信息安全保护措施,有着广泛的应用价值。
它的重要意义表现在以下几个方面:内部保护等保制度为企业和组织内部的信息系统提供了全面的信息安全保护,确保了系统的稳定性和可靠性。
企业和组织可以根据等保等级要求对信息系统进行详细的评估,制定相应的保护措施,从而避免或者最大程度上减少信息安全事件的发生。
等级保护2.0 三级 概述
等级保护2.0 三级概述等级保护2.0(等保2.0)是我国信息安全保障的基本制度,其三级标准是在法律法规的基础上,对信息系统安全、物理和环境安全、网络通信安全、设备和计算安全、应用和数据安全、安全管理、评估与审计、应急响应等方面提出的具体要求。
1. 法律法规基础:等保2.0三级依据国家法律法规和标准,对信息系统的合规性进行严格要求,确保信息系统符合法律法规的要求。
2. 信息系统安全:等保2.0三级对信息系统的安全性提出更高要求,包括信息的保密性、完整性和可用性等。
3. 物理和环境安全:等保2.0三级强调物理和环境安全,对物理访问控制、物理安全监测等提出具体要求。
4. 网络通信安全:等保2.0三级在网络通信安全方面要求建立完善的网络安全体系,包括网络隔离、入侵检测、漏洞扫描等。
5. 设备和计算安全:等保2.0三级对设备和计算安全提出要求,包括防病毒、身份认证、访问控制等。
6. 应用和数据安全:等保2.0三级要求应用和数据安全得到保障,包括数据加密、数据备份等。
7. 安全管理:等保2.0三级强调安全管理,要求建立完善的安全管理体系,包括安全组织、安全策略、安全制度等。
8. 评估与审计:等保2.0三级要求对信息系统进行定期的评估和审计,确保信息系统的安全性。
9. 应急响应:等保2.0三级要求建立完善的应急响应机制,包括应急预案、应急演练等。
10. 技术要求符合性验证:等保2.0三级还要求对各项安全技术要求进行符合性验证,确保各项安全措施的有效性。
11. 人员安全:等保2.0三级强调人员安全的重要性,包括对员工的安全培训、岗位管理以及权限管理等方面提出了具体要求。
12. 供应链安全:等保2.0三级要求对供应链安全进行管理,包括对供应商的评估、管理以及控制等方面提出了具体要求。
通过满足等级保护2.0三级的要求,组织可以有效地提高信息系统的安全防护能力,减少安全风险,保障业务的正常运行。
等保标准指南
等保标准指南一、等保标准概述等保标准是指信息安全等级保护标准,是我国为了加强信息安全保障,规范信息安全等级保护工作而制定的一系列规范性文件。
等保标准旨在指导信息系统运营、管理、设计和建设等方面的工作,以确保信息系统的安全可靠运行。
等保标准分为三个层级:基本要求、安全防护技术措施和安全管理措施。
其中,基本要求是对信息系统进行等级保护的基础,包括对信息系统的物理安全、网络安全、主机安全、应用安全和数据安全等方面的要求。
安全防护技术措施和管理措施则是针对基本要求的具体实施方法,包括技术手段和管理手段两方面。
二、等保标准的制定与实施等保标准的制定过程严格遵循国家标准化程序,通过相关部门的联合制定,确保了标准的科学性、实用性和可操作性。
在制定过程中,充分听取了信息安全领域的专家、企业和政府部门的意见,确保了标准的全面性和权威性。
等保标准的实施与监管方面,各级信息安全监管部门负责监督、指导和管理信息系统运营者的等保工作。
同时,通过定期审查、测评和检查等方式,确保信息系统的安全性能达到等保要求。
三、等保标准的主要内容等保标准主要包括以下三个方面:1.等级保护基本要求:包括对信息系统的物理安全、网络安全、主机安全、应用安全和数据安全等方面的基础要求。
2.等级保护安全防护技术措施:针对基本要求,提出了具体的安全防护技术措施,如防火墙、入侵检测、访问控制等。
3.等级保护安全管理措施:从管理角度出发,提出了确保信息安全的管理措施,如安全管理制度、安全培训、安全审计等。
四、等保标准的实际应用等保标准在实际应用中具有很强的指导意义,以下举例说明:1.信息系统等级保护实践案例:通过实际案例分析,展示了如何依据等保标准对信息系统进行安全防护和管理的实践过程。
2.等保标准在信息安全风险评估中的应用:等保标准可为信息安全风险评估提供依据和参考,帮助企业和政府部门识别潜在安全风险,制定相应的风险防范措施。
五、等保标准的意义与展望等保标准在我国信息安全保障体系中具有重要地位,对于推动我国信息安全事业发展具有重要意义。
等保四级建设方案
等保四级建设方案在信息化时代中,信息安全问题是一个非常重要的话题。
从政府、企业、个人角度来看,都需要保障信息的安全性。
为了便于管理和保护信息安全,国家出台了一系列措施,其中之一便是“等保”制度。
本文将对等保四级建设方案进行阐述。
一、等保制度的概述等保是等级保护的缩写,是一种信息安全保护标准。
等保制度分为五个等级,随着等级的升高,信息安全的要求也会随之增强。
等保制度适用于各类信息系统,覆盖了国家关键领域的信息系统、行业领域重要信息系统以及重点单位信息系统等。
二、等保四级的要求等保四级是等保制度中的一级,它的安全性要求非常高。
等保四级对信息系统的要求主要有以下几个方面:1. 安全域划分等保四级要求对信息系统进行安全域划分,将不同的网络和信息系统划分为不同的安全域,并且对各个安全域进行有序的连接和访问。
2. 资源隔离等保四级要求对各类资源进行隔离,包括网络资源、存储资源、计算资源等。
资源隔离的目的是防止恶意攻击和非授权访问。
3. 安全认证等保四级要求对信息系统和用户进行安全认证,确保信息系统和用户的身份可靠。
安全认证的方式包括口令认证、数字证书认证、指纹识别等。
4. 安全审计等保四级要求对信息系统的操作和管理进行安全审计。
安全审计可以发现并防范安全事件,对安全事件进行及时处理。
5. 安全备份等保四级要求对信息进行安全备份,确保信息能够及时、完整且可恢复。
安全备份可以最大程度地减少信息丢失的风险。
三、等保四级建设方案等保四级建设方案需要根据具体情况来制定,以下是建设方案中的一些常用方案:1. 安全域划分根据物理位置、业务需求等进行网络划分,将不同的业务环境划分为不同的安全域。
在安全域之间设置安全设备,如防火墙、入侵检测等,实现安全访问和传输。
2. 资源隔离实现资源隔离可以采用虚拟化技术。
通过虚拟化技术,将不同的资源进行分区,每个分区独立使用独立的资源,实现资源的隔离。
此外,资源隔离还需要进行访问控制和安全审计。
等保标准体系解析及介绍
• 原则:都基于风险管理和控制,并强调预防措施。
• 体系:ISO 27001是信息安全管理体系标准,而等 保标准体系更注重于网络安全。
• 范围:两个标准都涉及信息安全,特别是技术、管 理和人员方面。
• 不同点
• 内容:ISO 27001更关注信息安全策略、制度和技 术控制,而等保标准体系更强调技术和管理措施的 融合。
与PDCA循环的比较
• 相同点
• 循环:两个标准都采用循环过程模型,通 过计划、执行、检查和行动来促进持续改 进。
• 持续改进:两个标准都强调通过反馈和评估进行 持续改进,以适应不断变化的环境和需求。
• 不同点
• 重点:PDCA循环更注重全面质量管理,而 等保标准体系更关注网络安全风险管理。
• 步骤:PDCA循环包括计划、执行、检查 和行动四个步骤
与其他相关标准的比较
• 相同点
• 最佳实践:它们都提供了最佳实践指南,以帮助组织 采取措施确保信息安全。
• 范围:等保标准体系更专注于网络安全,而其他相 关标准可能涵盖更广泛的领域。
• 网络和信息安全:等保标准体系和其他相关标准都 关注网络和信息安全,以确保信息和系统的完整性 、可用性和保密性。
• 不同点
技术标准主要规定信息系统应具备的安全技术要求, 包括系统安全、数据安全、应用安全等方面。
等保标准体系的作用
01
等保标准体系是信息安全等级保护工作的基础和依据,为各类信息系统提供安 全建设和整改的指导,促进信息系统安全水平的提升。
02
等保标准体系的建立和完善,有利于提高信息系统的安全保障能力,降低信息 安全风险,维护国家网络空间安全。
等保标准体系是依据《中华人民共和国网络安全法》和国家 信息安全等级保护制度建立的,是信息安全保障体系的重要 组成部分。
信息安全等级保护系列标准概述
一、标准化基础知识二、国家信息安全等级保护标准的要求三、我国信息安全标准化工作的发展四、信息安全标准体系与标准分类五、信息安全等级保护标准简介基本概念——“标准( s tandard )”定义:为在一定的范围内获得最佳秩序、经协商一致制定并由公认机构批准、共同使用和重复使用的一种规范性文件。
理解:1)制定标准的目的是“为在一定范围内获得最佳秩序”和“促进最佳的共同效益”。
2)标准是共同使用和重复使用的一种规范性文件。
3)制定标准的对象是“活动或其结果”。
4)标准产生的基础是“科学、技术和经验的综合成果”。
5)标准需经过有关方面协商一致。
6)标准需经“公认机构”的批准。
基本概念——“标准化( s tandardization )”定义:为了在既定范围内获得最佳秩序,促进共同效益,对现实问题或潜在问题确立共同使用和重复使用的条款,编制、发布和应用文件的活动。
注1:标准化活动确立的条款,可形成标准化文件,包括标准和其他标准化文件。
注2:标准化的主要效益在于为了产品、过程和服务的预期目的改进它们的适用性,促进贸易、交流以及技术合作标准项目制定流程①立项阶段②准备阶段③起草、征求意见阶段④送审阶段⑤报批阶段国家相关政策文件▪(一)中华人民共和国国务院1994年2月18日147号令《中华人民共和国计算机信息系统安全保护条例》第二章第九条规定“计算机信息系统实行安全等级保护。
安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。
(二)2003年中共中央办公厅和国务院办公厅联合发布的中办发[2003]27号文件中要求:“抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”,“要加强信息安全标准化工作,抓紧制定急需的信息安全管理和技术标准,形成与国际标准衔接的中国特色的信息安全标准体系。
要重视信息安全标准的贯彻实施,充分发挥其基础性、规范性作用”。
与27号文件相关的如66号等文件中进一步提出,信息系统安全、安全保护产品、安全事件处理等均贯彻分类、分级原则。
等保 实施方案
等保实施方案一、概述信息安全等级保护(以下简称“等保”)是指对信息系统按照其安全等级的要求,采取相应的技术、管理和物理措施,保护信息系统安全的一种综合性保护措施。
为了确保信息系统的安全性和稳定性,我们制定了本等保实施方案,旨在全面提升信息系统的安全等级,保障信息系统的正常运行和信息的安全性。
二、等保实施方案的基本原则1. 法律依据:严格按照国家相关法律法规和政策要求,确保等保工作合法合规。
2. 整体设计:根据信息系统的实际情况,制定整体的等保方案,确保全面覆盖和无遗漏。
3. 分级保护:根据信息系统的安全等级要求,采取相应的技术、管理和物理措施,实施分级保护。
4. 风险评估:开展全面的风险评估工作,识别和评估信息系统可能面临的各类安全风险。
5. 防护措施:采取有效的技术手段和管理措施,确保信息系统的安全性和可靠性。
6. 持续改进:建立健全的信息安全管理体系,加强对等保工作的监督和评估,不断改进和完善等保措施。
三、等保实施方案的具体措施1. 制定等保管理制度:建立健全信息安全管理制度,明确各级责任人的职责和权限,确保等保工作的顺利开展。
2. 加强网络安全防护:建立完善的网络安全防护体系,包括入侵检测系统、防火墙、安全网关等技术手段,确保网络的安全可靠。
3. 完善权限管理机制:建立严格的权限管理机制,包括用户身份认证、访问控制、操作审计等措施,确保信息系统的安全性和可控性。
4. 加强数据保护:采取加密、备份、灾难恢复等措施,保护重要数据的安全性和完整性。
5. 定期漏洞扫描与修复:定期对信息系统进行漏洞扫描,及时修复系统中存在的安全漏洞,确保系统的安全性。
6. 加强安全意识教育:开展针对员工的安全意识培训,提高员工对信息安全的重视和保护意识。
7. 强化安全监控:建立健全的安全监控体系,对信息系统的安全状态进行实时监控和预警,及时发现和应对安全威胁。
四、等保实施方案的监督与评估1. 建立等保工作的监督机制,由专门的信息安全管理部门负责对等保工作进行监督和检查。
等保2.0的主要变化_概述说明以及解释
等保2.0的主要变化概述说明以及解释1. 引言1.1 概述等保2.0是指国家互联网信息办公室发布的《信息系统安全等级保护管理规定》,也被称为“网络安全等级保护2.0”。
随着互联网技术的发展和网络威胁形势的不断演变,等保2.0作为对原有等级保护制度的一次重大改革,旨在解决现有制度存在的问题,并提供更加科学、灵活和有效的网络安全管理要求。
本文将介绍等保2.0主要变化以及对企业和组织带来的影响。
1.2 文章结构本文共分为五个部分。
第一部分是引言,简要介绍了等保2.0的概述、文章结构和目的。
第二部分将详细讨论等保2.0主要变化,包括背景介绍、主要变化概述以及解释这些变化的意义。
第三部分将深入探讨等保2.0所采取的具体改进措施,包括政策法规的更新、安全等级核定标准的调整以及技术要求的升级与完善。
第四部分将重点讨论等保2.0对企业和组织带来的影响与挑战,包括对企业安全管理体系的要求提升、对IT基础设施建设的影响以及对人员培训和意识提升的要求。
最后一部分是结论,总结本文内容。
1.3 目的本文旨在全面介绍等保2.0的主要变化,并解释这些变化对企业和组织产生的影响和挑战。
通过深入了解等保2.0的改革内容,读者可以更好地理解新制度背后的原因和意义,并为相应的安全管理工作做好准备。
同时,本文也为相关领域从业人员提供了一份详尽清晰的参考资料,在实践中能够更加有效地推进等保2.0标准的落地实施。
2. 等保2.0主要变化2.1 背景介绍等保2.0是中国国家网络安全宣传周的重要内容之一,旨在进一步提升我国信息系统安全保护水平,适应新形势下信息化发展对网络安全的新挑战和新需求。
随着互联网技术的迅猛发展及信息化水平的不断提高,我国网络空间面临着日益复杂多变的威胁与风险,原有的等级保护制度已经无法满足现代网络环境下的安全需求。
因此,等保2.0作为更新版的等级保护制度,在政策法规、核定标准以及技术要求方面都进行了重大调整和改进。
2.2 主要变化概述等保2.0相对于原有的等级保护制度,在以下方面进行了主要变化:首先,在政策法规层面上,等保2.0进行了修订和更新。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
国家保密局提出的涉密系统安全保护要求
BMZ1-2000《涉及国家秘密的计算机信息系统保密技术要求》 《涉及国家秘密的计算机信息系统保密技术要求》
2000年 2000年2001年 2001年
BMZ2-2001《涉及国家秘密的计算机信息系统安全保密方案设计指南》 《涉及国家秘密的计算机信息系统安全保密方案设计指南》 BMZ3-2001《涉及国家秘密的计算机信息系统安全保密测评指南》 《涉及国家秘密的计算机信息系统安全保密测评指南》 规定了涉及国家秘密的计算机信息系统的安全 涉及国家秘密的计算机信息系统的 规定了涉及国家秘密的计算机信息系统的安全 保密技术要求,计算机信息系统安全保密方案 保密技术要求,计算机信息系统安全保密方案 包括的主要内容, 和计算机信息系统安全保密 包括的主要内容, 和计算机信息系统安全保密 BMB10-2004《涉及国家秘密的计算机网络安全隔离设备的技术要求和测试方法》 《涉及国家秘密的计算机网络安全隔离设备的技术要求和测试方法》 测评准则 ,适用于涉及国家秘密的计算机信息 系统安全保密方案的设计、建设和测评准则。 BMB11-2004《涉及国家秘密的计算机信息系统防火墙安全技术要求》 涉及国家秘密的计算机信息系统防火墙安全技术要求》 《系统安全保密方案的设计、建设和测评准则。
真正具有可操作意义上的技术标准 电子政务信息安全等级保护实施指南(试行)-国务院信息化 工作办公室 2005年9月 2005年 信息系统安全等级保护实施指南(国家标准报批稿) 信息系统安全等级保护实施指南(国家标准报批稿) 信息系统安全保护等级定级指南(国家标准报批稿) 信息系统安全保护等级定级指南(国家标准报批稿) 信息系统安全等级保护基本要求(国家标准报批稿) 信息系统安全等级保护基本要求(国家标准报批稿) 信息系统安全等级保护测评准则(国家标准报批稿) 信息系统安全等级保护测评准则(国家标准报批稿) 信息安全等级保护管理办法(试行)-公通字【2006】7号文件 信息安全等级保护管理办法(试行)-公通字【2006】 (已经废止) 信息安全等级保护管理办法-公通字【2007 43号文件 信息安全等级保护管理办法-公通字【2007】43号文件
等保范围(43号文件-定级工作) 号文件- 号文件 定级工作) 2007年 月至10月在全国范围内组织开展重要信息系统定级工作 2007年7月至10月在全国范围内组织开展重要信息系统定级工作 定级范围 电信、广电行业的公用通信网、广播电视传输网等基础信息网 络,经营性公众互联网信息服务单位、互联网接入服务单位、 数据中心等单位的重要信息系统。 铁路、银行、海关、税务、民航、电力、证券、保险、外交、 科技、发展改革、国防科技、公安、人事劳动和社会保障、财 政、审计、商务、水利、国土资源、能源、交通、文化、教育 、统计、工商行政管理、邮政等行业 市(地)级以上党政机关的重要网站和办公信息系统 涉及国家秘密的信息系统
替代公通字[2006]7号文件, 替代公通字[2006]7号文件, [2006]7号文件 明确了等级保护的具体操 作办法和各部委的职责, 作办法和各部委的职责, 以及推进等级保护的具体 事宜
为等级保护工作开展提 供了参考
提出了等级保护的推 进和管理办法
开始了等级保护的实质性 工作的第一阶段
为什么要实行等级保护
最先作为“ 最先作为“适度 安全” 安全”的工作思 路提出
总结成一种安全工 作的方法和原则
确认为国家信息安 全的基本制度, 全的基本制度,安 全工作的根本方法
等级保护政策文件演进
2006年 公安部、国信办 2006年 公安部、 下发了《 下发了《关于开展信息系 统安全等级保护基础调查 工作的通知》 工作的通知》 从2006年1月10日到4月10 2006年 10日到4 日到 日,分三个阶段对国家重 要的基础信息系统进行摸 包括党政机关、财政、 底,包括党政机关、财政、 海关、能源、金融、 海关、能源、金融、社会 保障等行业(2+2X) 保障等行业(2+2X) 2007年 2007年 四部委会签 公通字[2007]43 [2007]43号文件 公通字[2007]43号文件 《信息安全等级保护管 理办法》 理办法》 2007年7月16日 四部门会签 年 月 日 公信安[2007]861号文件:四部 号文件: 公信安 号文件 门下发《 门下发《关于开展全国重要信 息系统安全等级保护定级工作 的通知》 的通知》 2007年7月至 月在全国范围内 年 月至10月在全国范围内 月至 组织开展重要信息系统安全等 级保护定级工作 ,其中包括公 用通信网、 用通信网、广播电视传输网等 以及铁路、银行、 基础信息网络 以及铁路、银行、 海关、税务、民航、电力、 海关、税务、民航、电力、证 保险、外交、 券、保险、外交、人事劳动和 社会保障、财政、 社会保障、财政、等行业 (2+2X) )
信息安全的等级是客观存在的。 国内信息化发展的地区、行业不均衡的特点,决定信息安全需要满足不同行业、不同 发展阶段、不同层次的要求。 有利于突出重点。 有利于控制安全的成本。 既有符合性,也能系统化地解决安全问题,建立安全体系。 对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输和处 理这些信息的信息系统分等级实行安全保护。 对信息系统中使用的信息安全产品实行按等级管理。 对发生的信息安全事件按照等级进行响应和处理等。
信息系统安全等级保护实施的基本原则
等级保护的核心是对信息系统分等级、按标准进行建设、管理和监督。等级保护在实 施过程中应遵循以下基本原则(等保实施指南) a) 自主保护原则:由各主管部门和运营使用单位按照国家相关法规和标准,自 主确定信息系统的安全等级,自行组织实施安全保护。 b) 同步建设原则:信息系统在新建、改建、扩建时应当同步规划和设计安全方 案,投入一定比例的资金建设信息安全设施,保障信息安全与信息化建设相适 应。 c) 重点保护原则:根据信息系统的重要程度、业务特点,通过划分不同安全等 级的信息系统,实现不同强度的安全保护,集中资源优先保护涉及核心业务或 关键信息资产的信息系统。 d) 适当调整原则:要跟踪信息系统的变化情况,调整安全保护措施。因为信息 系统的应用类型、范围等条件的变化及其他原因,安全等级需要变更的,应当 根据等级保护的管理规范和技术标准的要求,重新确定信息系统的安全等级, 根据信息系统安全等级的调整情况,重新实施安全保护。
2004年 2004年
BMB12-2004《涉及国家秘密的计算机信息系统漏洞扫描产品技术要求》 BMB12-2004《涉及国家秘密的计算机信息系统漏洞扫描产品技术要求》 规定了涉密信息系统的 规定了涉密信息系统的等级划分准则 涉密信息系统 BMB13-2004《涉及国家秘密的计算机信息系统入侵检测产品技术要求》 《涉及国家秘密的计算机信息系统入侵检测产品技术要求》 和相应等级的安全保密技术要求 安全保密技术要求。 和相应等级的安全保密技术要求。本 规定了涉及国家秘密的计算机信息系 BMB15-2004《涉及国家秘密的信息系统安全审计产品技术要求 《涉及国家秘密的信息系统安全审计产品技术要求》 标准适用于涉密信息系统的设计单位、 安全隔离设备、防火墙、 标准适用于涉密信息系统的设计单位、 安全隔离设备、防火墙、漏 》 统使用的安全隔离设备 统使用的 建设单位、 建设单位、使用单位对涉密信息系统 、入侵检测、安全审计、隔离 洞扫描、 洞扫描 入侵检测、安全审计、 BMB16-2004《涉及国家秘密的信息系统安全隔离与信息交换产品技术要求》 《涉及国家秘密的信息系统安全隔离与信息交换产品技术要求》 的建设、使用和管理, 的建设、使用和管理,对BMZ1-2000、 、 交换等系统的的技术要求 等系统的的技术要求。 交换等系统的的技术要求。成为涉密 BMZ2-2001进行了有力的补充和完善。 产品选型的关键考虑因素。 进行了有力的补充和完善。 产品选型的关键考虑因素 进行了有力的补充和完善 系统进行产品选型的关键考虑因素。 系统进行
国家信息安全等级保护概述
北京天融信公司 网址: 网址:
目
录
国家关于安全等级保护的发展和相关介绍
安全等级保护的实施原则及其过程
信息系统的安全保护基本要求介绍
等级保护的含义
信息安全等级保护是指根据信息系统在国家安全、社会稳定 、经济秩序和公共利益等方面的重要程度以及风险威胁、安 全需求、安全成本等因素,将其划分不同的安全保护等级并 采取相应等级的安全保护技术、管理措施,以保障信息系统 安全和信息安全。
等级保护政策文件演进
2005年 2005年9月 国信办文件 关于转发《 《 关于转发《电子政务信息 系统信息安全等级保护实施 指南》 指南》的通知 》 国信办[2004]25 [2004]25号 (国信办[2004]25号) 2005年 公安部标准 2005年 定义了电子政务等级 等级保护安全要求》 《等级保护安全要求》 保护的实施过程和方 等级保护定级指南》 《等级保护定级指南》 法 等级保护实施指南》 《等级保护实施指南》 等级保护测评准则》 《等级保护测评准则》
2006年 2006年 2007年 2007年
BMB17-2006《涉及国家秘密的信息系统分级保护技术要求》 BMB17-2006《涉及国家秘密的信息系统分级保护技术要求》 BMB18-2006《涉及国家秘密的信息系统工程监理规范》 BMB18-2006《涉及国家秘密的信息系统工程监理规范》 BMB22-2007《涉及国家秘密的计算机信息系统分级保护测评指南》 BMB22-2007《涉及国家秘密的计算机信息系统分级保护测评指南》 BMB20-2007《涉及国家秘密的信息系统分级保护管理规范》 BMB20-2007《涉及国家秘密的信息系统分级保护管理规范》
提出了等级保护的定级方法、 提出了等级保护的定级方法、 2006年 2006年 四部委会签 实施办法, 实施办法,并对不同等级需 公通字[2006]7号文件 公通字[2006]7号文件 [2006]7 要达到的安全能力要求进行 关于印发《 (关于印发《信息安全 了详细的定义, (试 了详细的定义,同时对系统 等级保护管理办法( 等级保护管理办法 保护能力等级评测指出了具 的通知) 行)》的通知) 体的指标。 体的指标。 形成等级保护的基 定义了等级保护的管理办法, 定义了等级保护的管理办法, 本理论框架, 本理论框架,制定 后被43号文件取代。 43号文件取代 后被43号文件取代。 了方法, 了方法,过程和标 准