信息安全等级保护制度的主要内容和要求
国家信息安全等级第二级保护制度
国家信息安全等级保护制度(二级)一、技术要求1、物理安全1.1物理位置的选择机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内;1.2 物理访问控制(1)机房出入口应有专人值守,鉴别进入的人员身份并登记在案;(2)应批准进入机房的来访人员,限制和监控其活动范围。
1.3 防盗窃和防破坏(1)应将主要设备放置在物理受限的范围内;(2)应对设备或主要部件进行固定,并设置明显的不易除去的标记;(3)应将通信线缆铺设在隐蔽处,如铺设在地下或管道中等;(4)应对介质分类标识,存储在介质库或档案室中;(5)应安装必要的防盗报警设施,以防进入机房的盗窃和破坏行为。
1.4 防雷击(1)机房建筑应设置避雷装置;(2)应设置交流电源地线。
1.5 防火应设置灭火设备和火灾自动报警系统,并保持灭火设备和火灾自动报警系统的良好状态。
1.6 防水和防潮(1)水管安装,不得穿过屋顶和活动地板下;(2)应对穿过墙壁和楼板的水管增加必要的保护措施,如设置套管;(3)应采取措施防止雨水通过屋顶和墙壁渗透;(4)应采取措施防止室内水蒸气结露和地下积水的转移与渗透。
1.7 防静电应采用必要的接地等防静电措施1.8 温湿度控制应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。
1.9 电力供应(1)计算机系统供电应与其他供电分开;(2)应设置稳压器和过电压防护设备;(3)应提供短期的备用电力供应(如UPS设备)。
1.10 电磁防护(1)应采用接地方式防止外界电磁干扰和设备寄生耦合干扰;(2)电源线和通信线缆应隔离,避免互相干扰。
2、网络安全2.1结构安全与网段划分(1)网络设备的业务处理能力应具备冗余空间,要求满足业务高峰期需要;(2)应设计和绘制与当前运行情况相符的网络拓扑结构图;(3)应根据机构业务的特点,在满足业务高峰期需要的基础上,合理设计网络带宽;(4)应在业务终端与业务服务器之间进行路由控制,建立安全的访问路径;(5)应根据各部门的工作职能、重要性、所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段;(6)重要网段应采取网络层地址与数据链路层地址绑定措施,防止地址欺骗。
信息安全等级保护制度的主要内容和工作要求
码部门监管,造成信息系统出现重大安全事故的,要追 究单位和人员的责任。
二、等级保护政策体系和标准体系
(一)信息安全等级保护政策体系
近几年,公安部根据国务院147号令的授
权,会同国家保密局、国家密码管理局、发
改委、原国务院信息办出台了一些文件,公
安部和省厅对有些具体工作出台了一些指导 意见和规范,构成了信息安全等级保护政策 体系。 汇集成《信息安全等级保护工作汇 编》供有关单位、部门使用。
信息安全等级保护制度的
主要内容和工作要求
目
录
一、信息安全等级保护制度的主要内容 二、信息安全等级保护政策、标准体系 三、等级保护工作的具体内容和工作要求
一、等级保护制度的主要内容
(一)国家为什么要实施信息安全等级保 护制度
1.信息安全形势严峻
◆敌对势力的入侵、攻击、破坏
◆针对基础信息网络和重要信息系统的违法犯 罪持续上升 ◆基础信息网络和重要信息系统安全隐患严重
(三)等级保护制度的地位和作用
是国家信息安全保障工作的基本制度、基
本国策。
是开展信息安全工作的基本办法。 是促进国家信息化、维护国家信息安全 的
根本保障。
一、等级保护制度的主要内容
(四)实施等级保护制度的主要目的
◆明确重点、突出重点、保护重点 ◆有利于同步建设、协调发展。
◆
优化信息安全资源的配置。
一、等级保护制度的主要内容
2、《国家信息化领导小组关于加强信息安全 保障工作的意见》(中办发[2003]27号)规 定:要重点保护基础信息网络和关系国家 安全、经济命脉、社会稳定等方面的重要 信息系统,抓紧建立信息安全等级保护制
度,制定信息安全等级保护的管理办法和
国家信息安全等级第二级保护制度
国家信息平安等级保护制度〔二级〕一、技术要求1、物理平安1.1物理位置的选择机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内;1.2 物理访问控制〔1〕机房出入口应有专人值守,鉴别进入的人员身份并登记在案;〔2〕应批准进入机房的来访人员,限制和监控其活动范围。
1.3 防盗窃和防破坏〔1〕应将主要设备放置在物理受限的范围内;〔2〕应对设备或主要部件进行固定,并设置明显的不易除去的标记;〔3〕应将通信线缆铺设在隐蔽处,如铺设在地下或管道中等;〔4〕应对介质分类标识,存储在介质库或档案室中;〔5〕应安装必要的防盗报警设施,以防进入机房的盗窃和破坏行为。
1.4 防雷击〔1〕机房建筑应设置避雷装置;〔2〕应设置交流电源地线。
1.5 防火应设置灭火设备和火灾自动报警系统,并保持灭火设备和火灾自动报警系统的良好状态。
1.6 防水和防潮〔1〕水管安装,不得穿过屋顶和活动地板下;〔2〕应对穿过墙壁和楼板的水管增加必要的保护措施,如设置套管;〔3〕应采取措施防止雨水通过屋顶和墙壁渗透;〔4〕应采取措施防止室内水蒸气结露和地下积水的转移与渗透。
1.7 防静电应采用必要的接地等防静电措施1.8 温湿度控制应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。
1.9 电力供给〔1〕计算机系统供电应与其他供电分开;〔2〕应设置稳压器和过电压防护设备;〔3〕应提供短期的备用电力供给〔如UPS设备〕。
1.10 电磁防护〔1〕应采用接地方式防止外界电磁干扰和设备寄生耦合干扰;〔2〕电源线和通信线缆应隔离,防止互相干扰。
2、网络平安2.1结构平安与网段划分〔1〕网络设备的业务处理能力应具备冗余空间,要求满足业务顶峰期需要;〔2〕应设计和绘制与当前运行情况相符的网络拓扑结构图;〔3〕应根据机构业务的特点,在满足业务顶峰期需要的根底上,合理设计网络带宽;〔4〕应在业务终端与业务效劳器之间进行路由控制,建立平安的访问路径;〔5〕应根据各部门的工作职能、重要性、所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原那么为各子网、网段分配地址段;〔6〕重要网段应采取网络层地址与数据链路层地址绑定措施,防止地址欺骗。
信息安全等级保护制度
信息安全等级保护制度信息安全等级保护制度是指通过对信息系统进行安全评估,根据其安全风险等级的不同,对相关信息进行分级保护的制度。
该制度的目的是保护信息系统的安全,防止信息泄露、被篡改或被破坏,确保关键信息的机密性、完整性和可用性。
下面将重点介绍信息安全等级保护制度的主要内容。
首先,信息安全等级保护制度的制定需要明确的技术和管理标准。
技术标准包括基础设施、网络安全、加密算法等方面的标准,用于评估信息系统的安全风险等级。
管理标准包括组织安全管理、风险管理、安全培训等方面的要求,用于规范信息系统的安全保护工作。
其次,制度还需要包括信息安全等级评估的程序和方法。
评估的程序主要包括评估前准备、信息收集、风险分析、等级划定、评估报告等环节。
评估的方法可以采用定性分析、定量分析或综合分析等不同的方法,根据实际情况选择合适的方法进行评估。
接着,制度还需要明确不同等级的信息安全保护要求。
根据评估结果,将信息系统划分为不同的安全等级,每个等级都有相应的安全保护要求。
例如,高等级的信息系统需要采取更加严格的措施来保护其安全,如加密通信、身份认证、访问控制等。
而低等级的信息系统则可以采取相对简单的措施来保护其安全。
最后,制度还需要明确信息安全等级的监督和管理机制。
监督和管理机制应包括对信息系统安全保护措施的检查和评估,对违规行为的处罚和处置,对信息系统安全事件的处理等。
此外,还需要建立相关的培训和宣传制度,提高员工对信息安全的认识和意识。
总之,信息安全等级保护制度是一项非常重要的制度,对于保护信息系统的安全起着关键的作用。
通过制定明确的技术和管理标准,并采用合适的评估方法,明确不同等级的安全保护要求,建立监督和管理机制,可以有效地提高信息系统的安全性,保护信息的机密性、完整性和可用性。
国家的信息安全系统等级第二级保护规章制度
国家信息安全等级保护制度(二级)一、技术要求1、物理安全1.1物理位置的选择机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内;1.2 物理访问控制(1)机房出入口应有专人值守,鉴别进入的人员身份并登记在案;(2)应批准进入机房的来访人员,限制和监控其活动范围。
1.3 防盗窃和防破坏(1)应将主要设备放置在物理受限的范围内;(2)应对设备或主要部件进行固定,并设置明显的不易除去的标记;(3)应将通信线缆铺设在隐蔽处,如铺设在地下或管道中等;(4)应对介质分类标识,存储在介质库或档案室中;(5)应安装必要的防盗报警设施,以防进入机房的盗窃和破坏行为。
1.4 防雷击(1)机房建筑应设置避雷装置;(2)应设置交流电源地线。
1.5 防火应设置灭火设备和火灾自动报警系统,并保持灭火设备和火灾自动报警系统的良好状态。
1.6 防水和防潮(1)水管安装,不得穿过屋顶和活动地板下;(2)应对穿过墙壁和楼板的水管增加必要的保护措施,如设置套管;(3)应采取措施防止雨水通过屋顶和墙壁渗透;(4)应采取措施防止室内水蒸气结露和地下积水的转移与渗透。
1.7 防静电应采用必要的接地等防静电措施1.8 温湿度控制应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。
1.9 电力供应(1)计算机系统供电应与其他供电分开;(2)应设置稳压器和过电压防护设备;(3)应提供短期的备用电力供应(如UPS设备)。
1.10 电磁防护(1)应采用接地方式防止外界电磁干扰和设备寄生耦合干扰;(2)电源线和通信线缆应隔离,避免互相干扰。
2、网络安全2.1结构安全与网段划分(1)网络设备的业务处理能力应具备冗余空间,要求满足业务高峰期需要;(2)应设计和绘制与当前运行情况相符的网络拓扑结构图;(3)应根据机构业务的特点,在满足业务高峰期需要的基础上,合理设计网络带宽;(4)应在业务终端与业务服务器之间进行路由控制,建立安全的访问路径;(5)应根据各部门的工作职能、重要性、所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段;(6)重要网段应采取网络层地址与数据链路层地址绑定措施,防止地址欺骗。
等级保护信息安全管理制度
等级保护信息安全管理制度1. 引言等级保护信息安全管理制度旨在确保等级保护信息的安全性和保密性,从而保护组织的关键信息资源。
本文档定义了等级保护信息的分类标准、安全管理措施和责任分工,旨在为组织内部相关人员提供指导,确保信息安全管理的规范执行。
2. 术语和定义在本文档中,以下术语将具有如下含义: - 等级保护信息:指根据信息的重要性和敏感性,划分为不同等级的信息资源。
- 等级保护信息安全管理:指对等级保护信息进行分类管理、安全策略制定和技术控制的一系列措施和方法。
- 等级保护信息负责人:指被授权负责本单位等级保护信息安全管理工作的责任人。
- 等级保护信息责任部门:指根据工作职责和机构设置,在本单位内负责等级保护信息安全管理的相关部门。
3. 等级保护信息的分类标准等级保护信息按照其重要性和敏感性,分为三个等级:一般等级、重要等级和核心等级。
3.1 一般等级一般等级信息指那些对组织的正常运行和业务流程没有重大影响的信息,泄露后对组织的损失较小。
一般等级信息应遵循以下管理要求: - 采取适当的访问控制措施,限制访问权限; - 对一般等级信息的存储和传输进行加密保护; - 定期进行备份,确保一般等级信息的可恢复性; - 对一般等级信息进行巡检和监控,及时发现异常情况。
3.2 重要等级重要等级信息指那些对组织运行和业务流程具有较重要影响的信息,泄露后可能对组织造成较大损失。
重要等级信息应遵循以下管理要求: - 严格的访问控制,限制访问权限,并建立审批流程; - 对重要等级信息进行加密存储和传输,并定期更新加密算法; - 建立灾备机制,确保重要等级信息的可恢复性; - 配备专业的监控系统,对重要等级信息进行实时监控和异常处理。
3.3 核心等级核心等级信息指那些对组织运行和业务流程具有重大影响的信息,泄露后可能对组织造成巨大损失甚至灾难性后果。
核心等级信息应遵循以下管理要求: - 严格控制核心等级信息的访问权限,并建立多层审批制度; - 采用多重加密措施,确保核心等级信息的安全存储和传输; - 建立高可用的备份和灾备机制,确保核心等级信息的持续可用性; - 配备专业的安全团队,进行实时监控、入侵检测和应急响应。
信息安全等级保护制度的主要内容和要求
信息安全等级保护制度的主要内容和要求什么是信息安全等级保护制度?信息安全等级保护制度,简称信息保护制度(或C保护制度),是指国家对各类重要信息系统的安全等级进行划分,并根据不同等级制定不同的信息安全保护措施体系。
该制度是我国信息安全行业的重要标志之一,目的是保护重要信息系统的安全和稳定运行,从而保障国家的安全利益。
信息安全等级保护制度的主要内容信息安全等级保护制度是由官方机构和专业机构共同参与制定,目前分为4个级别,分别为“核心”、“重要”、“一般”、“一般级”四个级别,每个级别的保护要求和保护措施不同。
核心级核心级是最高等级,指涉及国家安全、军事安全、重要经济命脉、人民群众生命财产安全以及社会稳定等方面的信息系统。
其主要保护措施包括:•每日备份数据至离线备份机房;•应急处置预案必须保持在最新状态;•用户需要签订保密协议,保障数据安全;•部署安全监控系统,随时捕捉异常操作或攻击情况;•信息泄露后,需在2小时内报告相关部门。
重要级重要级信息系统是指涉及国家经济建设、政治、外交、科技等国家利益和人民群众生产、生活和健康安全方面的信息系统。
其主要保护措施包括:•划分多层次访问权限,在明确范围内进行配置;•实施物理隔离和网络隔离,确保边界安全;•部署安全防护设备,包括入侵检测、防火墙等;•开展安全漏洞测试和风险评估。
一般级一般级信息系统是指涉及政府各部门、企事业单位等一般信息系统。
其主要保护措施包括:•加密重要信息,确保机密性;•网络通信安全,保护数据完整性和可用性;•安全审计,记录和监督操作日志;•针对各种攻击手段进行防范和应对。
一般级(核心部委)一般级(核心部委)是对部委系统进行特殊分类的一般级信息系统。
其主要保护措施包括:•安全防护设备,如断网安全等级保护系统(GJB1782-2005);•资源访问控制,限制非本系统人员访问;•数据备份及恢复,避免数据丢失;•安全漏洞扫描、修复和漏洞统计。
信息安全等级保护制度的主要要求信息安全等级保护制度对每个级别都有一系列的要求,其中一些主要的要求包括:•整体安全意识要高,每个岗位、每个员工都要重视信息安全;•建立完善的安全管理和保障体系,包括安全组织、安全策略、安全标准等;•建立完善的信息管理和保障体系,包括信息采集、信息存储、信息传输等;•建立完善的安全监控和应急预案体系,包括定期演练应急处置预案、维护系统和网络设施的安全等等。
信息安全技术等级保护通用要求
信息安全技术等级保护通用要求信息安全技术等级保护通用要求是指为确保国家信息系统安全,有效防护信息系统、保护信息内容不被未授权获取、披露、篡改、销毁,以及保障信息系统连续可靠稳定运行,而制定的一系列技术要求和管理要求。
信息安全技术等级保护通用要求要求信息系统建设符合国家和相关行业的相关法律法规,确保信息系统的合法合规运行。
这意味着信息系统的建设和运行不得违反国家法律法规,同时需要遵循相关行业的规范要求,确保信息系统的合法性和合规性。
通用要求对信息系统进行了多层次和多角度的安全防护要求。
包括物理安全、组织管理、人员身份认证与权限管理、安全审计与监控、通信和存储加密、漏洞与风险管理等方面的要求。
这些要求涵盖了信息系统在设计、建设、运维等各个阶段的不同方面,确保信息系统在多个层面上进行全面、系统的安全防护。
通用要求还要求信息系统具备及时响应和处置安全事件的能力。
信息系统应当具备实时监测和分析安全事件的能力,并能够迅速响应和处置各类安全事件。
这需要信息系统具备强大的安全监测与响应机制,确保及时发现、排查和解决安全事件,减小安全事件对信息系统的影响。
通用要求还对信息系统的维护和管理提出了要求。
信息系统应当进行定期的安全评估与测试,保证系统的安全性和可靠性。
同时,信息系统的维护和管理也应当符合相关的安全要求,包括定期备份和恢复、及时更新安全补丁、规范的运维管理等。
信息安全技术等级保护通用要求是对信息系统安全建设和管理的综合要求。
通过严格按照通用要求来设计、建设和运维信息系统,可以提高信息系统的安全性和可靠性,从而有效防止信息泄露、篡改以及其他安全威胁,保障国家信息安全。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
美国信息安全保障基本做法
• 1993年克林顿政府提出兴建“国家信息基础设施”(信息 高速公路),1998年首次提出信息安全的概念和意义; • 1998年5月国家安全局制定了《信息保障技术框架》; • 2000年公布首个《信息系统保护国家计划》; • 2002年下半年,以《国土安全战略》为引导,布什政府逐 步出台一系列国家安全政策,将信息保障战略纳入总体国家 战略之中:
•包括3个重要目标,12个倡议
•03年保护网际空间国家战略
•7
•2001年10月16日 ,布什政府意识 到了911之后信息 安全的严峻性, 发布了第13231 号行政令《信息 时代的关键基础 设施保护》,宣 布成立“总统关键 基础设施保护委 员会”,简称 PCIPB,代表政 府全面负责国家 的网络空间安全 工作
先进的技术来构建将来的环境。 • 十二项任务
美国信息安全保障组织机构
• 网络安全协调官:负责领导白宫“网络安全办公室”,制 定和发布国家信息安全政策
– 首任网络安全协调官霍华德·施密特,被喻为“网络沙 皇”
• 国土安全部(DHS)、国家安全局(NSA)、国防部(DOD) 、联邦调查局(FBI)、中央情况报局(CIA)、国家标准技 术研究所(NIST)等6个机构具体执行不同的分管职责
美国CNCI:网络“曼哈顿计划”
• 2008年1月2日发布的国家安全总统令54/国土安全总统令 23,建立了国家网络安全综合计划(CNCI)。 • 三道防线
– 建立第一线防御:减少当前漏洞和隐患,预防入侵; – 全面应对各类威胁:增强反间能力,加强供应链安全
来抵御各种威胁; – 强化未来安全环境:增强研究、开发和教育以及投资
• 知识子域:我国信息安全保障工作总体情况 – 了解我国信息安全保障工作发展阶段 – 理解国家信息安全保障基本原则 – 了解国家信息安全保障建设主要内容
发达国家信息安全保障的主要举措
信息安全是国家安全的重要组成部分已成为世界各 国的共识; 各国纷纷出台自己的信息安全战略和政策,加强自身 的国家信息安全保障体系建设。
信息安全等级保护制度 的主要内容和要求
2020年6月1日星期一
目录
• 一、国外关键基础设施保护政策 • 二、我国信息安全政策法规综述 • 三、等级保护制度的主要内容 • 四、等级保护政策体系和标准体系 • 五、等级保护工作的具体内容和要求
一、国外关键基础设施保护政策
信息安全保障工作概况
• 知识子域:国外信息安全保障情况 – 了解发达国家信息安全状况和信息安全保障的主要举 措 – 了解发达国家信息安全方面主要动态
•年信息系统保护国家计划
•2000年1月,克 林顿政府发布了 《信息系统保护 国家计划V1.0》 ,提出了美国政 府在21世纪之初 若干年的网络空 间安全发展规划 。
•网络空间国家安全战略框架
•
2010年3月2日,
•奥巴马政府部分解密了CNCI,
– 属于高度机密,2010年3月奥巴马政府公开了其部分 内容;要求美国政府与安全有关的部门参与实施;
英国信息安全保障体系建设动态
• 全面紧跟美国,2009年6月,英国发布首份国家《网络安 全战略》,宣布成立“网络安全办公室”和“网络安全运 行中心”,提出建立新的网络管理机构的具体措施。
• 注重信息安全标准组织建设,重视将本国标准向海外推广 ,积极参与国际信息安全标准制定。 – 英国BSI 7799标准享誉全球,已成为国际标准,并主 导ISO/IEC 27000系列标准
• 强化网络监控,规定警方和国家安全、税务等监察部门有 权监控电子邮件和移动电话等系统,成为西方大国中唯一 的政府可以要求网络用户交出加密资料密钥的国家
英国信息安全保障的重点对象
• 英国国计民生不可或缺的许多关键服务依赖信息技术, 有10个部分被认为是在提供“基本服务”。
英国信息安全保障基本做法
美国信息安全保障的重点对象
• 2001年美国出台《美国爱国者法案》,定义“关键基础实 施”的含义; • 2003年12月发布《国土安全总统令/HSPD-7》确定了17个 关键基础设施; • 2008年3月国土安全部将关键制造业类为第18项关键基础 设施; • 目前美国的关键基础设施和主要资源部门;
• 立法工作 – 1984年制定《数据保护法》 – 1990年出台《反计算机滥用法》 – 1997年实施《电信诈骗法》 – 2000年出台《信息自由法》
美国信息安全保障基本做法
• 2005年美国建立了国家漏洞库(NVD),利用技术优势掌 握全球最全面的信息安全漏洞信息
• 2008年1月8日,布什以第54号国家安全总统令和第23号 国土安全总统令的形式签署《国家网络安全综合计划》
– 这项计划高度强调国家意志,被称为信息安全的“曼 哈顿计划;
– 目标:保护没有网络安全,防止美国遭到敌对的电子 攻击,并能对敌方展开在线攻击;预算:高达300400亿美元;
美国信息安全保障战略:一个轮回 三届政府 四个文件
•1998年5月, 克林顿政府发 布了第63号总 统令(PDD63 ):《克林顿 政府对关键基 础设施保护的 政策》
•2003年2月,在 征求国民意见的 基础上,发布了 《保护网际空间 的国家战略》的 正式版本,对原 草案版本做了大 篇幅的改动,重 点突出国家政府 层面上的战略任 务,这是一个非 常大的跨越
国外信息安全保障体系的最新趋势
•战略:发布网络安全战略、政策评估报告、推进计划等文件 •政治:通过设立网络安全协调机构、设立协调官,强化集中 领导和综合协调 •军事:陆续成立网络战司令部,开展大规模攻防演练,招募 网络战精英人才,加快军事网络和通信系统的升级改造,网 络战成为热门话题 •外交:信息安全问题的国际交流与对话增多,美欧盟友之间 网络协同攻防倾向愈加明显,信息安全成为国际多边或双边 谈判的实质性内容 •科技:各国寻求走突破性跨越式发展路线推进技术创新,力 求在科技发展上保持和占据优势地位 •关键基础设施仍然是信息安全保障的最核心内容