等保相关文件名录
新版等级保护分级保护.pdf
新版等级保护分级保护.pdf等级保护/分级保护目录1等级保护FAQ (3)1.1什么是等级保护、有什么用? (3)1.2信息安全等级保护制度的意义与作用? (3)1.3等级保护与分级保护各分为几个等级,对应关系是什么? (3)1.4等级保护的重要信息系统(8+2)有哪些? (4)1.5等级保护的主管部门是谁? (4)1.6国家密码管理部门在等级保护/分级保护工作中的职责是什么?(4)1.7等级保护的政策依据是哪个文件? (4)1.8公安机关对等级保护的管理模式是什么,等级保护定级到哪里备案? (5)1.9等级保护是否是强制性的,可以不做吗? (5)1.10等级保护的主要标准有哪些,是否已发布为正式的国家标准?(5)1.11哪些单位可以做等级保护的测评? (6)1.12做了等级测评之后,是否会给发合格证书? (6)1.13是否只是在政府行业实行?企业是否也在等级保护和分级保护范畴之内? (6)1.14等级保护检查的责任单位是谁? (7)2分级保护FAQ (7)2.1分级保护是什么? (7)2.2分级保护的主管部门是谁? (7)2.3分级保护定级到哪里备案? (7)2.4分级保护的政策依据是哪个文件? (7)2.5分级保护与等级保护的适用对象分别是什么? (7)2.6分级保护有关信息安全的标准相互关系是什么? (8)2.7分级保护与等级保护的定级依据有何区别? (8)2.8分级保护的建设依据、方案设计、测评分别依据哪些标准? (8)2.9分级保护设计方案是否需要经过评审和审批,谁来评审和审批?(8)2.10涉密信息系统投入使用前,是否需要经过审批,由谁来审批?(8)2.11分级保护系统测评的作用是什么,是否必须做? (9)2.12哪些单位可以做分级保护的测评,有什么资质要求? (9)2.13分级保护对涉密系统中使用的安全保密产品有哪些要求? (9)2.14涉密系统分级保护多长时间需进行一次安全保密检查? (9)2.15各级保密局与各单位保密办的关系是什么? (10)2.16分级保护的系统集成对厂商的资质有什么要求? (10)2.17分级保护的安全建设是否必须监理,对监理资质有什么要求?(10)2.18分级保护的哪些具体工作对厂商有单项资质的要求? (10)3综合问题 (11)3.1等保与分保的本质区别是什么? (11)3.2等保与分保各有几种级别? (11)3.3等级保护/分级保护什么区别哪些部门在管理,怎么做? (11)3.4企业出现泄密事件上报那些单位? (11)3.5等保定级备案是依据单位还是系统? (12)3.6风险评估和等级保护的关系? (12)3.7方案设计阶段及实施前是否需要报批? (12)3.8对于等保中产品使用及密码产品是否有要求? (12)等级保护/分级保护FAQ1等级保护FAQ1.1什么是等级保护、有什么用?【解释】是我国实施信息安全管理的一项法定制度,1994年147号令、2003年27号文件、2004年66号文件都有明确规定,信息系统安全实施等级化保护和等级化管理。
等保手册-打印版
2019年5月10日,国家市场监督管理总局、中国国家标准化管理委员会发布《信息安全技术 网络安全等级保护基本要求》,标志着等级保护步入新的阶段——等级保护标准2.0时代。
等保2.0的正式落地,既是形势所迫、国情所需,也是顺应《网络安全法》、《网络安全等级保护条例》等法律法规要求。
网络安全等级保护是党中央、国务院决定在网络安全领域实施的基本国策,作为我国非涉密领域的网络安全基本防护框架,在应对新形势、满足新要求、针对新风险、扩大新内容方面,从政策、标准体系层面都迈入2.0时代。
等保2.0将释放国内网络安全市场巨大需求空间,极大促进我国网络安全相关产业发展。
那么,等保2.0建设新要求是什么,新思路有哪些?网御星云等保2.0全方位专业解读请往下看。
等保1.0升级等保2.017-3402-1635-4445-64手册概览SHOUCEGAILAN为什么需要等级保护01网络安全等级保护是当今发达国家保护关键信息基础设施、保障网络安全的通行做法,也是我国多年来网络安全工作经验的总结。
通过开展网络安全等级保护工作,有限的财力、物力、人力投入到国家关键信息基础设施安全保护中,可有效保护基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统、大数据等的安全。
等保2.0的适时推出,体现国家积极应对新技术引发的新风险,变被动防御为主动保障,解决我国网络安全面临的威胁和存在的主要问题。
等保2.0新标准已于2019年5月10日正式发布,包括三大标准:GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》、GB/T25070-2019《信息安全技术网络安全等级保护安全设计技术要求》、GB/T28448-2019《信息安全技术网络安全等级保护测评要求》,标志着等保2.0标准正式落地。
建立和落实网络安全等级保护制度是形势所迫、国情所需。
随着我国信息化进程的全面加快,全社会特别是重要行业、重要领域对基础信息网络和重要信息系统的依赖程度越来越高,基础信息网络和重要信息系统的安全性直接关系到国家安全、公共安全、社会公众利益。
信息系统等级保护标准文件梳理
1.基础标准
《计算机信息系统安全保护等级划分准则》是强制性国家标准,是等级保护的基础性标准,在此基础上制定出《信息系统通用安全技术要求》等技术类、《信息系统安全管理要求》、《信息系统安全工程管理要求》等管理类、《操作系统安全技术要求》等产品类标准,在相关标准的制定时起到了基础作用。
2.安全要求Leabharlann 标准 信息系统安全等级保护基本要求的行业标准或细则。重点行业可以按照《基本要求》等国家标准,结合行业特点,在公安部等有关部门指导下,确定《基本要求》的具体指标,在不低于《基本要求》的情况下,结合系统安全保护的特殊需求,制定行业标准规范或细则。
3.定级类标准
《信息系统安全等级保护定级指南》和信息系统安全等级保护行业定级细则为确定信息系统安全保护等级提供支持。
《基本要求》以及行业标准规范和细则构成了信息系统安全建设整改的安全需求。
《信息系统安全等级保护基本要求》(以下简称《基本要求》)。该标准是在《计算机信息系统安全保护等级划分准则》、技术类标准和管理类标准基础上,总结几年的实践,结合当前信息技术发展的实际情况研究制定的,该标准提出了各级信息系统应当具备的安全保护能力,并从技术和管理两方面提出了相应的措施。
5.现状分析类标准
《信息系统安全等级保护测评要求》和《信息系统安全等级保护测评过程指南》构成了指导开展等级测评的标准规范。
信息系统安全等级保护相关标准列表
信息系统安全等级保护相关标准列表信息系统安全等级保护相关标准列表标准类型子类型标准名称基础类标准计算机信息系统安全保护等级划分准则(GB17859-1999)应用类标准信息系统定级信息系统安全保护等级定级指南(GB/T22240-2008)等级保护实施信息系统安全等级保护实施指南(信安字[2007]10) 信息系统安全建设信息系统安全等级保护基本要求(GB/T22239-2008)信息系统通用安全技术要求(GB/T20271-2006)信息系统等级保护安全设计技术要求(GB/T24856-2009)信息系统安全管理要求(GB/T20269-2006)信息系统安全工程管理要求(GB/T20282-2006)信息系统物理安全技术要求(GB/T21052-2007)网络基础安全技术要求(GB/T20270-2006)信息系统安全等级保护体系框架(GA/T708-2007)信息系统安全等级保护基本模型(GA/T709-2007)信息系统安全等级保护基本配置(GA/T710-2007)等级测评信息系统安全等级保护测评要求(报批稿)信息系统安全等级保护测评过程指南(报批稿)信息系统安全管理测评(GA/T713-2007)产品类标准操作系统操作系统安全技术要求(GB/T20272-2006) 操作系统安全评估准则(GB/T20008-2005)数据库数据库管理系统安全技术要求(GB/T20273-2006)数据库管理系统安全评估准则(GB/T20009-2005)网络网络端设备隔离部件技术要求(GB/T20279-2006)网络端设备隔离部件测试评价方法(GB/T20277-2006)网络脆弱性扫描产品技术要求(GB/T20278-2006)网络脆弱性扫描产品测试评价方法(GB/T20280-2006)网络交换机安全技术要求(GA/T684-2007)虚拟专用网安全技术要求(GA/T686-2007)PKI 公钥基础设施安全技术要求(GA/T687-2007)PKI系统安全等级保护技术要求(GB/T21053-2007)网关网关安全技术要求(GA/T681-2007)服务器服务器安全技术要求(GB/T21028-2007)入侵检测入侵检测系统技术要求和检测方法(GB/T20275-2006) 计算机网络入侵分级要求(GA/T700-2007)防火墙防火墙安全技术要求(GA/T683-2007)防火墙技术测评方法(报批稿)信息系统安全等级保护防火墙安全配置指南(报批稿)防火墙技术要求和测评方法(GB/T20281-2006)包过滤防火墙评估准则(GB/T20010-2005)路由器路由器安全技术要求(GB/T18018-2007)路由器安全评估准则(GB/T20011-2005)路由器安全测评要求(GA/T682-2007)交换机网络交换机安全技术要求(GB/T21050-2007)交换机安全测评要求(GA/T685-2007)其他产品终端计算机系统安全等级技术要求(GA/T671-2006) 终端计算机系统测评方法(GA/T671-2006)审计产品技术要求和测评方法(GB/T20945-2006)虹膜特征识别技术要求(GB/T20979-2007)虚拟专网安全技术要求(GA/T686-2007)应用软件系统安全等级保护通用技术指南(GA/T711-2007)应用软件系统安全等级保护通用测试指南(GA/T712-2007)网络和终端设备隔离部件测试评价方法(GB/T20277-2006)网络脆弱性扫描产品测评方法(GB/T20280-2006)其他类标准风险评估信息安全风险评估规范(GB/T20984-2007) 事件管理信息安全事件管理指南(GB/Z20985-2007)信息安全事件分类分级指南(GB/Z20986-2007) 信息系统灾难恢复规范(GB/T20988-2007)。
三级等保涉及产品列表
防雷保安器
7。1。1.5防火(G3)
a)机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火
火灾自动消防系统
7。1。1.6防水和防潮(G3)
d)应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。
水敏感的检测仪表
7.1.1。7防静电(G3)
b)机房应采用防静电地板。
流控系统
7。1。5数据安全及备份恢复
7.1。5。1数据完整性(S3)
应能够检测到系统管理数据、鉴别信息和重要业务数据在传输过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施;
7。2管理要求
……………………。
…………………….
认证准入系统
7.1。3。3安全审计(G3)
a)审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户;
审计系统
网管系统
7.1。3.4剩余信息保护(S3)
a)应保证操作系统和数据库系统用户的鉴别信息所在的存储空间,被释放或再分配给其他用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中;
数据备份
7.1。3。5入侵防范(G3)
a)应能够检测到对重要服务器进行入侵的行为,能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间,并在发生严重入侵事件时提供报警;
入侵防御系统
安全软件
7。1。3。6恶意代码防范(G3)
a)应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库;
安全软件
a)应在网络边界处对恶意代码进行检测和清除;
入侵防御系统
7。1.2。7网络设备防护(G3)
a)应对登录网络设备的用户进行身份鉴别
ISO27000及等保管理要求(三级)控制点对照表
d) 安全管理制度应通过正式、有效的方式发布;
e) 安全管理制度应注明发布范围,并对收发文进行登记。
7.2.1。3 评审和修订(G3)
a) 信息安全领导小组应负责定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定;
a) 应访谈安全主管,询问是否定期对安全管理制度进行评审,由何部门/何人负责;
b) 应访谈安全主管,询问安全管理制度的制定程序,是否对制定的安全管理制度进行论证和审定,论证和评审方式如何(如召开评审会、函审、内部审核等),是否按照统一的格式标准或要求制定;
c) 应检查制度制定和发布要求管理文档,查看文档是否说明安全管理制度的制定和发布程序、格式要求及版本编号等相关内容;
d) 应检查管理制度评审记录,查看是否有相关人员的评审意见;
f) 应检查信息安全管理委员会或领导小组是否具有单位主管领导对其最高领导的委任授权书;
g) 应检查信息安全管理委员会职责文件,查看是否明确描述委员会的职责和其最高领导岗位的职责;
h) 应检查安全管理各部门和信息安全管理委员会或领导小组是否具有日常管理工作执行情况的文件或工作记录(如会议记录/纪要和信息安全工作决策文档等).
c) 应加强与供应商、业界专家、专业的安全公司、安全组织的合作与沟通;
A。6。2。3说明第三方契约的安全要求
凡涉及存取、处理、通讯或管理组织的信息或信息处理设施,或在信息处理设施上附加产品或服务者,应在与第三方之协议中涵盖所有相关的安全要求。
b) 应访谈安全主管,询问是否召开过部门间协调会议,组织其它部门人员共同协助处理信息系统安全有关问题,安全管理机构内部是否召开过安全工作会议部署安全工作的实施,参加会议的部门和人员有哪些,会议结果如何;信息安全领导小组或者安全管理委员会是否定期召开例会;
《信息安全等级保护》
不同级别的安全保护能力要求
• 第三级安全保护能力
– 应能够在统一安全策略下防护系统免受来自外部有组织的团体 (如一个商业情报组织或犯罪组织等),拥有较为丰富资源(包 括人员能力、计算能力等)的威胁源发起的恶意攻击、较为严重 的自然灾难(灾难发生的强度较大、持续时间较长、覆盖范围较 广等)以及其他相当危害程度的威胁(内部人员的恶意威胁、无 意失误、较严重的技术故障等)所造成的主要资源损害,能够发 现安全漏洞和安全事件,在系统遭到损害后,能够较快恢复绝大 部分功能。
者确定定级对象的安全保护等级。
编辑ppt
《基本要求》基本思路
不同级别 信息系统
应对不同威胁的能力 (威胁\弱点)
重要程度不同
具有不同的安全保护能力
编辑ppt
不同的基本要求
不同级别的安全保护能力要求
• 第一级安全保护能力
– 应能够防护系统免受来自个人的、拥有很少资源(如利用公开可 获取的工具等)的威胁源发起的恶意攻击、一般的自然灾难(灾 难发生的强度弱、持续时间很短等)以及其他相当危害程度的威 胁(无意失误、技术故障等)所造成的关键资源损害,在系统遭 到损害后,能够恢复部分功能。
– 第二级,信息系统受到破坏后,会对公民、法人和其 他组织的合法权益产生严重损害,或者对社会秩序和 公共利益造成损害,但不损害国家安全。
– 第三级,信息系统受到破坏后,会对社会秩序和公共 利益造成严重损害,或者对国家安全造成损害。
– 第四级,信息系统受到破坏后,会对社会秩序和公共 利益造成特别严重损害,或者对国家安全造成严重损 害。
解决什么
• 信息安全等级保护是手段,是为了构建国家信 息安全保障体系。
• 信息安全保障体系也是手段,是为了信息应用 发展。
35等保信息化管理制度 附则(各类等保制度表格)
信息化管理制度附则第一条本办法未尽事宜按国家有关法律、法规和相关规定执行。
第二条本办法由XX信息科负责修订、解释。
第三条本办法自颁布之日起发布执行。
记录表单1. 《门卡申请表》2.《机房访问申请表》3.《中心机房出入登记表》4.《信息设备验收单》5.《信息设备申领单》6.《信息设备报废申请单》7.《设备维修登记表》8.《变更申请表》9.《机房值班记录表》10.《设备故障登记表》11.《日巡检记录表(机房环境)》12.《机房日巡检记录表(信息安全)》13.《日巡检记录表(供配电系统)》14.《日巡检记录表(网络系统)》15.《日巡检记录表(服务器系统)》16.《日巡检记录表(应用系统)》17.《周巡检记录表(机房环境)》18.《周巡检记录表(供配电系统)》19.《周巡检记录表(信息安全)》20.《周巡检记录表(服务器系统)》21.《周巡检记录表(网络系统)》22.《周巡检记录表(应用系统)》23.《月巡检记录表(机房环境)》24.《月巡检记录表(供配电)》25.《月巡检记录表(信息安全)》26.《月巡检记录表(小型机)》27.《月巡检记录表(核心网络设备)》28.《月巡检记录表(PC服务器)》29.《信息资产清单》30.《系统异常事件处理记录》31.《应急处理审批表》附件1:门卡申请表附件2:机房访问申请表附件3:中心机房出入登记表附件4:信息设备验收单附件5:信息设备申领单附件6:信息设备报废申请单注:本表一式三份,分别由信息科、财务科、申请报废部门各一份。
附件7:设备维修登记表变更申请表机房值班记录表年月日设备故障登记表记录人:负责人:附件11:日巡检记录表(机房环境)附件12:机房日巡检记录表(信息安全)附件13:日巡检记录表(供配电系统)第16页附件14:日巡检记录表(网络系统)第17页第18页附件15:日巡检记录表(服务器系统)第19页附件16:日巡检记录表(应用系统)第20页附件17:周巡检记录表(机房环境)附件18:周巡检记录表(供配电系统)附件19:周巡检记录表(信息安全)附件20:周巡检记录表(服务器系统)附件21:周巡检记录表(网络系统)第25页附件22:周巡检记录表(应用系统)第26页附件23:月巡检记录表(机房环境)第27页附件24:月巡检记录表(供配电)第28页附件25:月巡检记录表(信息安全)第29页附件26:月巡检记录表(小型机)巡检日期:第30页巡检人(签字)字):附件27:月巡检记录表(核心网络设备)时间:巡检人:人:附件28:月巡检记录表(PC服务器)巡检期:巡检人(签字):负责人(签字):附件:29信息资产清单填表说明:1.“资产统一命名”指:按照本单位命名规则对资产统一命名和标识。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
5 中华人民共和国公安部 6 中华人民共和国公安部 7 中华人民共和国公安部 国家发展和改革委员会 8 中华人民共和国公安部 国家保密局 国土资源部信息化工作 办公室文件 10 工信部 公安部 11 国务院国有资产监督管理委员 会 12 教育厅 9 13 14 卫生部文件 15 财政部
国土资信办发[2012]6号 工信部协[2011]451号 公通字[2010]70号 教办厅函[2009]80号 办信函[2008]10号 卫办发[2011]85号 财办发[2007]82
发布领域 1
2
3字[2007]43号 国家保密局 国家密码管理局 国务院信息化工作办公室 公安部 公通字[2004]66号 国家保密局 国家密码管理局 国务院信息化工作办公室 中华人民共和国公安部 公信安[2007]861号 国家保密局 国家密码管理局 国务院信息化工作办公室 国家电子政务外网管理中心文件 政务外网[2011]15号 公信安[2009]1429 号 公信安[2010]303号 公信安[2007]1360号 发改高技[2008]2071号
文件名称 关于印发《信息安全等级保护管理办法》的通知
关于印发《关于信息安全等级保护工作的实施意见》的通知
关于开展全国重要信息系统安全等级保护定级工作的通知
关于加快推进国家电子政务外网安全等级保护工作的通知 关于印送《关于开展信息安全等级保护安全建设整改工作的指导意见》的函 关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知 关于印发《信息安全等级保护备案实施细则》的通知 关于加强国家电子政务工作建设项目信息安全风险评估工作的通知
国土资源信息化工作办公室关于国土资源信息安全等级保护工作的指导意见 关于加强工业控制系统信息安全管理的通知 关于进一步推进中央企业信息安全等级保护工作的通知 教育部办公厅关于开展信息系统安全等级保护工作的通知 国家林业局办公室关于开展信息安全等级保护工作的紧急通知 卫生关于印发《卫生行业信息安全等级保护工作的指导意见》的通知 关于开展等级信息系统安全等级保护定级工作通知 内蒙古自治区计算机信息系统安全保护办法 转发国家发改委等五部门关于进一步加强国家电子政务网络建设和应用工作的通知
内蒙古自治区人民政府办公厅关于开展政府网站信息安全等级保护工作的通知 关于开展区直重点单位、中央直属驻内蒙古重点单位信息安全等级保护定级备案工作 的通知 关于开展信息安全等级保护大检查工作的通知 展开信息安全等级保护测评试点工作的通知 关于2013年我区开展重点领域信息安全检查工作的通知
关于开展全区卫生行业信息安全等级保护工作的通知 关于成立内蒙古自治区卫生信息系统安全等级保护工作领导小组的通知 关于印发《电力行业信息系统等级保护定级工作指导意见》的通知 关于印发《电力行业网络与信息安全监督管理暂行规定》的通知 中国人民银行关于发布《金融行业信息系统信息安全等级保护实施指引》等三项行业 标准的通知 关于分行信息安全等级保护工作有关事项的通知 中国人民银行关于银行业金融机构信息系统安全等级保护定级的指导意见 广播总局科技司关于开展广播电视相关信息系统安全等级保护定级工作的通知 关于开展信息安全等级保护测评试点工作的通知 关于开展信息安全等级保护等级测评工作的通知 关于信息安全测评认证收费转正收费标准的函 关于开展全辖信息系统安全等级保护相关工作的通知 兴安盟行政公署办公厅关于开展全盟政府网站及重要信息系统安全等级保护工作的通 知 关于开展重要信息系统安全等级保护工作的通知
广电 呼市 北京 银联 兴安盟 赤峰 标准
29 中国人民银行文件 国家广播电视电影总局(司 30 局) 文件 31 呼和浩特市公安局文件 32 呼和浩特市公安局文件
京发改[2004]2965号 33 北京市发展和改革委员会 34 银联商务有限公司办公室文件 银商办发[2010]261 内蒙古自治区兴安盟行政公署 兴署办发[2013]84号 办公厅文件 36 赤峰市 37 等级保护基本要求 35 38 测评系统基本要求
183号令 16 内蒙古自治区人民政府令 内蒙古自治区发展和改革委员 内发改高技字[2012]2242号 会 17 内蒙古自治区公安厅 内蒙古自治区财政厅 内蒙古自治区国家保密局 内蒙古自治区内网办
18 内蒙古自治区人民政府办公厅 内蒙古自治区信息网络安全 19 工作领导小组办公室 内蒙古自治区信息网络安全 内蒙古自治区 20 工作领导小组办公室文件 内蒙古自治区信息网络安全 21 工作领导小组办公室文件 内蒙古自治区信息化领导小组 办公司 22 内蒙古自治区网络与信息安全 协调办公司 内蒙古自治区卫生厅 23 内蒙古自治区公安厅 内蒙古自治区卫生厅 24 内蒙古自治区公安厅 25 国家电力监管委员会文件 电力行业 26 国家电力监管委员会 27 银行 28 中国人民银行文件 国家开发银行办公厅文件
内政办字[2013]133号 内信安组办字[2010]1号 内信安组字[2012]1号 内信安组字[2011]3号 内信领办字[2013]15号
内卫信字[2012]666号 内卫信字[2012]665号 电监信息[2007]44号 电监信息[2007]50号 银发[2012]171号 开行办[2012]122号 银发[2012]163号 技办字[2011]170号 呼公通[2011]6号 呼公发[2009]253号