信息安全等级保护培训
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
➢ 第二级:运营、使用单位根据国家管理规范、技术标准自 主防护。国家有关部门进行指导。
➢ 第三级:自主防护。国家有关部门进行监督、检查。
➢ 第四级:运营、使用单位根据国家管理规范、技术标准和 业务专门需求进行保护,国家有关部门进行强制监督、检 查。
➢ 第五级:(略)。
等级保护政策依据
公通字[2007]43号文 测评周期要求 ➢ 第三级信息系统应当每年至少进行一次等级测评; ➢ 第四级信息系统应当每半年至少进行一次等级测评; ➢ 第五级信息系统应当依据特殊安全需求进行等级测评。 自查周期要求 ➢ 第三级信息系统应当每年至少进行一次自查; ➢ 第四级信息系统应当每半年至少进行一次自查; ➢ 第五级信息系统应当依据特殊安全需求进行自查。 根据测评、自查情况制定整改方案并实施。
✓ 对关键设备(泄露)和磁介质(损坏)实施电磁屏蔽。
网络安全
网络安全
网络安全
(二)访问控制 ✓ 边界部署访问控制设备(FW) ✓ 数据流控制粒度为端口级; ✓ 实现命令级(ftp、telnet)的控制; ✓ 会话终止(非活跃一定时间); ✓ 限制网络最大流量数及网络连接数; ✓ 重要网段应采取技术手段防止地址欺骗(MAC地址邦定); ✓ 限制具有拨号访问权限的用户数量
物理安全
(六)防水和防潮 ✓ 水管不穿过机房屋顶和活动地板下; ✓ 防止雨水通过机房窗户、屋顶和墙壁渗透; ✓ 防止机房内水蒸气结露和地下积水的转移与渗透; ✓ 对机房进行防水检测和报警。
物理安全
(七)防静电
✓ 防静电地板。
物理安全
(八)温湿度控制 ✓ 应设置温、湿度自动调节设施,使机房温、湿度的变化在
等级保护政策依据
公通字[2004]66号文 进一步明确了信息安全等级保护制度的基本内容:
✓ 一是根据信息和信息系统在国家安全、社会秩序、公共利益、社会生活中的重 要程度;遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他 组织的合法权益的危害程度;针对信息的保密性、完整性和可用性要求及信息 系统必须要达到的基本的安全保护水平等因素,确定信息和信息系统的安全保 护等级,共分五级。
……
TCP/IP IPX/SPX SNMP
……
场地 机房 网络布线 设备 存储设备
……
各级系统的保护要求差异
信息安全管理生命周期
建设管理
运维管理
系统定级 方案设计 产品使用 自行开发 系统交付 测试验收 工程实施 软件外包
设 介资 环密
备 质产 境码
恶 意 代 码 防 范 管
理
管 管管 管管 理 理理 理理
除外); (三)从事相关检测评估工作两年以上,无违法记录; (四)工作人员仅限于中国公民; (五)法人及主要业务、技术人员无犯罪记录; (六)使用的技术装备、设施应当符合本办法对信息安全产品的要求; (七)具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全
管理制度; (八)对国家安全、社会秩序、公共利益不构成威胁。
✓ 关于印发《信息安全等级保护管理办法》的通知(公通字 [2007]43号)
等级保护政策依据
中办发[2003]27号文
✓ 明确指出“实行信息安全等级保护”。 “要重点保护基础 信息网络和关系国家安全、经济命脉、社会稳定等方面的 重要信息系统,抓紧建立信息安全等级保护制度,制定信 息安全等级保护的管理办法和技术指南”。
目录
□等级保护基本知识介绍 □等级保护基本要求的具体介绍 □信息安全等级保护检查问题发现和总结
等级保护基本知识介绍
□等级保护的政策依据 □等级保护的关键环节(流程) □等级保护的现实意义 □等级保护的相关标准 □《基本要求》核心思想解读
等级保护政策依据
✓ 《国家信息化领导小组关于加强信息安全保障工作的意见 》(中办发[2003]27号 )
等级保护相关标准
✓ 《计算机信息系统安全保护等级划分准则》(GB17859-1999) ✓ 《信息安全技术网络基础安全技术要求》(GB/T20270-2006) ✓ 《信息安全技术信息系统通用安全技术要求》GB/T20271-2006) ✓ 《信息安全技术操作系统安全技术要求》(GB/T20272-2006) ✓ 《信息安全技术数据库管理系统安全技术要求》(GB/T20273-2006
马等程序和功能; (五)对国家安全、社会秩序、公共利益不构成危害; (六)对已列入信息安全产品认证目录的,应当取得国家信息安全产品
认证机构颁发的认证证书。
等级保护政策依据
公通字[2007]43号文 第三级以上信息系统的安全测评机构应具备的条件: (一)在中华人民共和国境内注册成立(港澳台地区除外); (二)由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区
) ✓ 《信息安全等级保护基本要求》(GB/T22239-2008) ✓ 《信息安全等级保护定级指南》(GB/T22240-2008) ✓ 《信息安全等级保护测评要求》(送审稿) ✓ 《信息安全技术 信息系统等级保护安全设计技术要求》(征求意见)
等级保护核心标准关系的说明
✓ 系统建设:《信息系统安全等级保护定级指南》确定出系统等级以及 业务信息安全性等级和系统服务安全等级后,需要按照相应等级,根 据《信息安全等级保护基本要求》选择相应等级的安全保护要求进行 系统建设实施。
等级保护政策依据
公通字[2007]43号文 检查周期要求 ➢ 受理备案的公安机关应当对第三级、第四级信息系统的运
营、使用单位的信息安全等级保护工作情况进行检查。 ➢ 对第三级信息系统每年至少检查一次; ➢ 对第四级信息系统每半年至少检查一次。 ➢ 对第五级信息系统,应当由国家指定的专门部门进行检查
✓ 系统测评:《信息系统安全等级保护测评要求》是针对《信息安全等 级保护基本要求》的具体控制要求开发的测评要求,旨在强调系统按 照《信息安全等级保护基本要求》进行建设完毕后,检验系统的各项 保护要求是否符合相应等级的基本要求。
✓ 由上可见,《信息安全等级保护基本要求》在整个标准体系中起着承 上启下的作用。相关技术要求可以作为《信息安全等级保护基本要求 》的补充和详细指导标准。
公通字[2006]7号文 ✓ 明确了信息安全等级保护的具体要求。 ✓ 为推广和实施信息安全等级保护提供法律保障。
公信安[2007]861号 ✓ 标志着等级保护工作正式推向实施阶段。
大家有疑问的,可以询问和交流
可以互相讨论下,但要小
等级保护政策依据
公通字[2007]43号文 2007.6.22
➢ 明确主管单位: 公安机关负责信息安全等级保护工作的监督、检查
设备运行所允许的范围之内(大型的精密空调)
物理安全
(九)电力供应 ✓ 供电线路上配置稳压器和过电压防护设备; ✓ 提供短期的备用电力供应(UPS设备); ✓ 设置并行电力线路为计算机系统供电(2路供电); ✓ 应建立备用供电系统(发电机)。
物理安全
(十)电磁防护 ✓ 电源线和通信线缆应隔离铺设,避免互相干扰;
信息系统的定级
各级系统的保护要求差异
一级系统 二级系统 三级系统 四级系统
防护 防护/监测 策略/防护/监测/恢复 策略/防护/监测/恢复/响应
各级系统的保护要求差异
一级系统 二级系统 三级系统 四级系统
通信/边界(基本) 通信/边界/内部(关键设备) 通信/边界/内部(主要设备) 通信/边界/内部/基础设施(所有设备)
应 安网 系 急 全络 统变 预 事安 安更 案 件全 全管 管 处管 管理
备 份 与 恢 复 管
理
理 置理 理
ห้องสมุดไป่ตู้
管理机构
管理制度
信息安全管理基础
人员安全
等级保护基本要求的具体介绍
主要内容
技术要求
□物理安全 □网络安全 □主机安全 □应用安全 □数据安全
管理要求
□安全管理制度 □安全管理机构 □人员安全管理 □系统建设管理 □系统运维管理
各级系统的保护要求差异
一级系统
计划和跟踪(主要制度)
二级系统
计划和跟踪(主要制度)
三级系统
良好定义(管理活动制度化)
四级系统
持续改进(管理活动制度化/及时改进)
构建系统模型_技术模型
应用系统
医疗
教育
科研
管理
主机系统
网络系统 物理环境
Web 服务 Mail 服务 数据库 多媒体平台 中间件 ……
Windows Solaris AIX HP-UX Linux
等级保护政策依据
公通字[2007]43号文 其他: (一)涉密系统根据BMB17建设,根据BMB22测评; (二)秘密、机密、绝密对应第三、四、五等级。 (三)密码管理根据《商用秘密管理条例》执行。
等级保护工作的主要流程
一是定级。 二是备案(二级以上信息系统)。 三是系统建设、整改(按条件选择产品)。 四是开展等级测评(按条件选择测评机构)。 五是信息安全监管部门定期开展监督检查
等级保护政策依据
公通字[2007]43号文 第三级以上信息系统应当选择使用符合以下条件的信息安全产品: (一)产品研制、生产单位是由中国公民、法人投资或者国家投资或者
控股的,在中华人民共和国境内具有独立的法人资格; (二)产品的核心技术、关键部件具有我国自主知识产权; (三)产品研制、生产单位及其主要业务、技术人员无犯罪记录; (四)产品研制、生产单位声明没有故意留有或者设置漏洞、后门、木
不同级别系统控制点的差异
不同级别系统要求项的差异
物理安全
物理安全
(一)物理位置选择 ✓ 机房防震、防风和防雨
✓ 应避免设在建筑物的高层或地下室,以及用水设备的下层 或隔壁。
物理安全
(二)物理访问控制 ✓ 专人值守 ✓ 申请和审批 ✓ 划分区域进行管理 ✓ 配置电子门禁
物理安全
(三)防盗窃和防破坏 ✓ 设备或主要部件进行固定 ✓ 设置标记(不易去除)。 ✓ 通信线缆铺设铺设在地下或管道中 ✓ 防盗报警
。
等级保护政策依据
公通字[2007]43号文 等级保护的检查内容 (一)信息系统安全需求是否发生变化,原定保护等级是否准确; (二)运营、使用单位安全管理制度、措施的落实情况; (三)运营、使用单位及其主管部门对信息系统安全状况的检查情况; (四)系统安全等级测评是否符合要求; (五)信息安全产品使用是否符合要求; (六)信息系统安全整改情况; (七)备案材料与运营、使用单位、信息系统的符合情况; (八)其他应当进行监督检查的事项。
✓ 公安部、国家保密局、国家密码管理委员会办公室、国务 院信息化工作办公室联合下发的《关于信息安全等级保护 工作的实施意见》(公通字[2004]66号)
✓ 公安部、国家保密局、国家密码管理局、国务院信息化工 作办公室联合下发的《信息安全等级保护管理办法》(试 行)(公通字[2006]7号)
✓ 《关于开展全国重要信息系统安全等级保护定级工作的通 知》(公信安[2007]861号)
、指导。
国家保密部门负责等保中保密工作的监督、检查、 指导。
国家密码管理部门负责等保中有关密码工作的监督 、检查、指导。
➢ 确定5个等级,但去掉了[2006 7号文]“自主保护 ”、“指导保护”、“监督保护”等称为。
等级保护政策依据
公通字[2007]43号文
五个等级的基本情况
➢ 第一级:运营、使用单位根据国家管理规范、技术标准自 主防护。
等级保护现实意义
✓ 确保重点:需要通过国家政策、制度来保障有关 国计民生、大型活动(如奥运、世博)信息系统 的安全。
✓ 适度防护:由于资金投入、人力资源是有限的, 因此要根据不同等级的安全需求进行安全建设与 管理,避免过度投入造成的浪费。
✓ 普及经验:信息安全工作到底怎样做,多数单位 缺乏办法、经验、底数。因此,等级保护吸取了 我国多年信息安全技术、管理成败经验教训,科 学的规范了信息安全工作的开展。
物理安全
(三)防盗窃和防破坏 ✓ 设备或主要部件进行固定 ✓ 设置标记(不易去除)。 ✓ 通信线缆铺设铺设在地下或管道中 ✓ 防盗报警
物理安全
(四)防雷击 ✓ 设置避雷装置;
✓ 防雷保安器,防止感应雷;
✓ 设置交流电源地线。
物理安全
(五)防火 ✓ 火灾自动消防系统;
✓ 采用耐火建筑材料;
✓ 区域隔离防火措施.
✓ 二是国家通过制定统一的管理规范和技术标准,组织行政机关、公民、法人和 其他组织根据信息和信息系统的不同重要程度开展有针对性的保护工作。国家 对不同安全保护级别的信息和信息系统实行不同强度的监管政策。
✓ 三是国家对信息安全产品的使用实行分等级管理。
✓ 四是信息安全事件实行分等级响应、处置的制度。
等级保护政策依据
➢ 第三级:自主防护。国家有关部门进行监督、检查。
➢ 第四级:运营、使用单位根据国家管理规范、技术标准和 业务专门需求进行保护,国家有关部门进行强制监督、检 查。
➢ 第五级:(略)。
等级保护政策依据
公通字[2007]43号文 测评周期要求 ➢ 第三级信息系统应当每年至少进行一次等级测评; ➢ 第四级信息系统应当每半年至少进行一次等级测评; ➢ 第五级信息系统应当依据特殊安全需求进行等级测评。 自查周期要求 ➢ 第三级信息系统应当每年至少进行一次自查; ➢ 第四级信息系统应当每半年至少进行一次自查; ➢ 第五级信息系统应当依据特殊安全需求进行自查。 根据测评、自查情况制定整改方案并实施。
✓ 对关键设备(泄露)和磁介质(损坏)实施电磁屏蔽。
网络安全
网络安全
网络安全
(二)访问控制 ✓ 边界部署访问控制设备(FW) ✓ 数据流控制粒度为端口级; ✓ 实现命令级(ftp、telnet)的控制; ✓ 会话终止(非活跃一定时间); ✓ 限制网络最大流量数及网络连接数; ✓ 重要网段应采取技术手段防止地址欺骗(MAC地址邦定); ✓ 限制具有拨号访问权限的用户数量
物理安全
(六)防水和防潮 ✓ 水管不穿过机房屋顶和活动地板下; ✓ 防止雨水通过机房窗户、屋顶和墙壁渗透; ✓ 防止机房内水蒸气结露和地下积水的转移与渗透; ✓ 对机房进行防水检测和报警。
物理安全
(七)防静电
✓ 防静电地板。
物理安全
(八)温湿度控制 ✓ 应设置温、湿度自动调节设施,使机房温、湿度的变化在
等级保护政策依据
公通字[2004]66号文 进一步明确了信息安全等级保护制度的基本内容:
✓ 一是根据信息和信息系统在国家安全、社会秩序、公共利益、社会生活中的重 要程度;遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他 组织的合法权益的危害程度;针对信息的保密性、完整性和可用性要求及信息 系统必须要达到的基本的安全保护水平等因素,确定信息和信息系统的安全保 护等级,共分五级。
……
TCP/IP IPX/SPX SNMP
……
场地 机房 网络布线 设备 存储设备
……
各级系统的保护要求差异
信息安全管理生命周期
建设管理
运维管理
系统定级 方案设计 产品使用 自行开发 系统交付 测试验收 工程实施 软件外包
设 介资 环密
备 质产 境码
恶 意 代 码 防 范 管
理
管 管管 管管 理 理理 理理
除外); (三)从事相关检测评估工作两年以上,无违法记录; (四)工作人员仅限于中国公民; (五)法人及主要业务、技术人员无犯罪记录; (六)使用的技术装备、设施应当符合本办法对信息安全产品的要求; (七)具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全
管理制度; (八)对国家安全、社会秩序、公共利益不构成威胁。
✓ 关于印发《信息安全等级保护管理办法》的通知(公通字 [2007]43号)
等级保护政策依据
中办发[2003]27号文
✓ 明确指出“实行信息安全等级保护”。 “要重点保护基础 信息网络和关系国家安全、经济命脉、社会稳定等方面的 重要信息系统,抓紧建立信息安全等级保护制度,制定信 息安全等级保护的管理办法和技术指南”。
目录
□等级保护基本知识介绍 □等级保护基本要求的具体介绍 □信息安全等级保护检查问题发现和总结
等级保护基本知识介绍
□等级保护的政策依据 □等级保护的关键环节(流程) □等级保护的现实意义 □等级保护的相关标准 □《基本要求》核心思想解读
等级保护政策依据
✓ 《国家信息化领导小组关于加强信息安全保障工作的意见 》(中办发[2003]27号 )
等级保护相关标准
✓ 《计算机信息系统安全保护等级划分准则》(GB17859-1999) ✓ 《信息安全技术网络基础安全技术要求》(GB/T20270-2006) ✓ 《信息安全技术信息系统通用安全技术要求》GB/T20271-2006) ✓ 《信息安全技术操作系统安全技术要求》(GB/T20272-2006) ✓ 《信息安全技术数据库管理系统安全技术要求》(GB/T20273-2006
马等程序和功能; (五)对国家安全、社会秩序、公共利益不构成危害; (六)对已列入信息安全产品认证目录的,应当取得国家信息安全产品
认证机构颁发的认证证书。
等级保护政策依据
公通字[2007]43号文 第三级以上信息系统的安全测评机构应具备的条件: (一)在中华人民共和国境内注册成立(港澳台地区除外); (二)由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区
) ✓ 《信息安全等级保护基本要求》(GB/T22239-2008) ✓ 《信息安全等级保护定级指南》(GB/T22240-2008) ✓ 《信息安全等级保护测评要求》(送审稿) ✓ 《信息安全技术 信息系统等级保护安全设计技术要求》(征求意见)
等级保护核心标准关系的说明
✓ 系统建设:《信息系统安全等级保护定级指南》确定出系统等级以及 业务信息安全性等级和系统服务安全等级后,需要按照相应等级,根 据《信息安全等级保护基本要求》选择相应等级的安全保护要求进行 系统建设实施。
等级保护政策依据
公通字[2007]43号文 检查周期要求 ➢ 受理备案的公安机关应当对第三级、第四级信息系统的运
营、使用单位的信息安全等级保护工作情况进行检查。 ➢ 对第三级信息系统每年至少检查一次; ➢ 对第四级信息系统每半年至少检查一次。 ➢ 对第五级信息系统,应当由国家指定的专门部门进行检查
✓ 系统测评:《信息系统安全等级保护测评要求》是针对《信息安全等 级保护基本要求》的具体控制要求开发的测评要求,旨在强调系统按 照《信息安全等级保护基本要求》进行建设完毕后,检验系统的各项 保护要求是否符合相应等级的基本要求。
✓ 由上可见,《信息安全等级保护基本要求》在整个标准体系中起着承 上启下的作用。相关技术要求可以作为《信息安全等级保护基本要求 》的补充和详细指导标准。
公通字[2006]7号文 ✓ 明确了信息安全等级保护的具体要求。 ✓ 为推广和实施信息安全等级保护提供法律保障。
公信安[2007]861号 ✓ 标志着等级保护工作正式推向实施阶段。
大家有疑问的,可以询问和交流
可以互相讨论下,但要小
等级保护政策依据
公通字[2007]43号文 2007.6.22
➢ 明确主管单位: 公安机关负责信息安全等级保护工作的监督、检查
设备运行所允许的范围之内(大型的精密空调)
物理安全
(九)电力供应 ✓ 供电线路上配置稳压器和过电压防护设备; ✓ 提供短期的备用电力供应(UPS设备); ✓ 设置并行电力线路为计算机系统供电(2路供电); ✓ 应建立备用供电系统(发电机)。
物理安全
(十)电磁防护 ✓ 电源线和通信线缆应隔离铺设,避免互相干扰;
信息系统的定级
各级系统的保护要求差异
一级系统 二级系统 三级系统 四级系统
防护 防护/监测 策略/防护/监测/恢复 策略/防护/监测/恢复/响应
各级系统的保护要求差异
一级系统 二级系统 三级系统 四级系统
通信/边界(基本) 通信/边界/内部(关键设备) 通信/边界/内部(主要设备) 通信/边界/内部/基础设施(所有设备)
应 安网 系 急 全络 统变 预 事安 安更 案 件全 全管 管 处管 管理
备 份 与 恢 复 管
理
理 置理 理
ห้องสมุดไป่ตู้
管理机构
管理制度
信息安全管理基础
人员安全
等级保护基本要求的具体介绍
主要内容
技术要求
□物理安全 □网络安全 □主机安全 □应用安全 □数据安全
管理要求
□安全管理制度 □安全管理机构 □人员安全管理 □系统建设管理 □系统运维管理
各级系统的保护要求差异
一级系统
计划和跟踪(主要制度)
二级系统
计划和跟踪(主要制度)
三级系统
良好定义(管理活动制度化)
四级系统
持续改进(管理活动制度化/及时改进)
构建系统模型_技术模型
应用系统
医疗
教育
科研
管理
主机系统
网络系统 物理环境
Web 服务 Mail 服务 数据库 多媒体平台 中间件 ……
Windows Solaris AIX HP-UX Linux
等级保护政策依据
公通字[2007]43号文 其他: (一)涉密系统根据BMB17建设,根据BMB22测评; (二)秘密、机密、绝密对应第三、四、五等级。 (三)密码管理根据《商用秘密管理条例》执行。
等级保护工作的主要流程
一是定级。 二是备案(二级以上信息系统)。 三是系统建设、整改(按条件选择产品)。 四是开展等级测评(按条件选择测评机构)。 五是信息安全监管部门定期开展监督检查
等级保护政策依据
公通字[2007]43号文 第三级以上信息系统应当选择使用符合以下条件的信息安全产品: (一)产品研制、生产单位是由中国公民、法人投资或者国家投资或者
控股的,在中华人民共和国境内具有独立的法人资格; (二)产品的核心技术、关键部件具有我国自主知识产权; (三)产品研制、生产单位及其主要业务、技术人员无犯罪记录; (四)产品研制、生产单位声明没有故意留有或者设置漏洞、后门、木
不同级别系统控制点的差异
不同级别系统要求项的差异
物理安全
物理安全
(一)物理位置选择 ✓ 机房防震、防风和防雨
✓ 应避免设在建筑物的高层或地下室,以及用水设备的下层 或隔壁。
物理安全
(二)物理访问控制 ✓ 专人值守 ✓ 申请和审批 ✓ 划分区域进行管理 ✓ 配置电子门禁
物理安全
(三)防盗窃和防破坏 ✓ 设备或主要部件进行固定 ✓ 设置标记(不易去除)。 ✓ 通信线缆铺设铺设在地下或管道中 ✓ 防盗报警
。
等级保护政策依据
公通字[2007]43号文 等级保护的检查内容 (一)信息系统安全需求是否发生变化,原定保护等级是否准确; (二)运营、使用单位安全管理制度、措施的落实情况; (三)运营、使用单位及其主管部门对信息系统安全状况的检查情况; (四)系统安全等级测评是否符合要求; (五)信息安全产品使用是否符合要求; (六)信息系统安全整改情况; (七)备案材料与运营、使用单位、信息系统的符合情况; (八)其他应当进行监督检查的事项。
✓ 公安部、国家保密局、国家密码管理委员会办公室、国务 院信息化工作办公室联合下发的《关于信息安全等级保护 工作的实施意见》(公通字[2004]66号)
✓ 公安部、国家保密局、国家密码管理局、国务院信息化工 作办公室联合下发的《信息安全等级保护管理办法》(试 行)(公通字[2006]7号)
✓ 《关于开展全国重要信息系统安全等级保护定级工作的通 知》(公信安[2007]861号)
、指导。
国家保密部门负责等保中保密工作的监督、检查、 指导。
国家密码管理部门负责等保中有关密码工作的监督 、检查、指导。
➢ 确定5个等级,但去掉了[2006 7号文]“自主保护 ”、“指导保护”、“监督保护”等称为。
等级保护政策依据
公通字[2007]43号文
五个等级的基本情况
➢ 第一级:运营、使用单位根据国家管理规范、技术标准自 主防护。
等级保护现实意义
✓ 确保重点:需要通过国家政策、制度来保障有关 国计民生、大型活动(如奥运、世博)信息系统 的安全。
✓ 适度防护:由于资金投入、人力资源是有限的, 因此要根据不同等级的安全需求进行安全建设与 管理,避免过度投入造成的浪费。
✓ 普及经验:信息安全工作到底怎样做,多数单位 缺乏办法、经验、底数。因此,等级保护吸取了 我国多年信息安全技术、管理成败经验教训,科 学的规范了信息安全工作的开展。
物理安全
(三)防盗窃和防破坏 ✓ 设备或主要部件进行固定 ✓ 设置标记(不易去除)。 ✓ 通信线缆铺设铺设在地下或管道中 ✓ 防盗报警
物理安全
(四)防雷击 ✓ 设置避雷装置;
✓ 防雷保安器,防止感应雷;
✓ 设置交流电源地线。
物理安全
(五)防火 ✓ 火灾自动消防系统;
✓ 采用耐火建筑材料;
✓ 区域隔离防火措施.
✓ 二是国家通过制定统一的管理规范和技术标准,组织行政机关、公民、法人和 其他组织根据信息和信息系统的不同重要程度开展有针对性的保护工作。国家 对不同安全保护级别的信息和信息系统实行不同强度的监管政策。
✓ 三是国家对信息安全产品的使用实行分等级管理。
✓ 四是信息安全事件实行分等级响应、处置的制度。
等级保护政策依据