信息安全等级保护定级指南
2020年新版《等级保护定级指南》多了哪些要求?
专家评审如何开展?
第一、公安网安主管部门工作人员,一般情况下为了避嫌,是异地网安人员参与评审; 第二,测评机构持证工作人员,他们长年在一线进行等保工作,他们接触了很多系统,对 标准对系统情况比较熟悉,他们适合当等保定级专家,这里建议测评机构的评审专家资质 应为:中、高级测评师,他们的工作经验相对初级测评师来说较为丰富; 第三,相关网络安全专家,这里就比较广泛,比如各个单位信息中心或者网络安全的负责 人,行业主管部门负责网络安全的人员,高校负责网络安全、计算机等教学人员,这些专 家也都行,他们长年从事信息化特别是网络安全工作,经验也较为丰富,如果自身负责过 或指导过本单位等保工作开展的那就更好。
等级保护对象范围
0 2
等保定级需要进行专家评审
等保定级需要进行专家评审
等保定级需要进行专家评审
从图中可以看到,定级需要进行专家评审,那么至此等保定级再也不是1.0的自主定级 了,而是需要规范进行定级。对于初步确定为第一级的等级保护对象,可不进行专家 家评审、主管部门核准和备案审核,所以一级系统不需要去公安网安部门进行备案, 但是这里需要提醒的是哪些是一级系统,通俗点说就是这个系统哪怕是坏了对别人的 影响都非常小的系统才是一级系统。定一级前,你们对照自己的系统看看是不是这样 的,但凡不是这样的,那么你的系统肯定是二级起步了。那么安全保护等级初步确定 为第二级及以上的等级保护对象,就需要组织专家评审、主管部门核准和备案审核, 最终确定其安全等级。
等级变更时需重新进行定级
当等级保护对象所处理的业务信息和系统服务范围发生变化,可能导致业务信息安 全和系统服务安全受到破坏后的受侵害客体和对客体的侵害程度发生变化时,需根 据本标准重新确定定级对象和安全保护等级。也就是等级需要变更时需要按照定级 指南重新开展定级,该请专家评审的请专家评审,该请行业主管部门审核的请行业 主管部门审核,再也不能随意进行等级的变更了。
信息系统等级保护等级定级指南
信息系统等级保护等级定级指南《信息系统等级保护等级定级指南》嘿,朋友,今天咱们来唠唠信息系统等级保护等级定级这事儿哈。
先说说基本的注意事项。
你得知道啊,这定级可不是随便定的。
就像你上学分年级一样,每个级别都有它自己的特点。
首先要明确一点,整个信息系统里包含的各种资源、数据什么的都得考虑进去。
我一开始也是以为只看点表面功能就行了呢,这可是大错特错。
信息系统可能包括硬件、软件、其中的数据,像用户信息这种机密的,还有各种各样的网络设施,这些都是定级的因素。
实用建议呢,就是你得仔细的分析信息系统的重要性和它受破坏的影响程度。
影响程度大概可以从对业务的影响、对社会的影响、对国家安全方面的影响这几个大方向去看。
比如说,如果这个信息系统要是崩了,你们公司业务直接瘫痪了,那这影响可就大了。
我之前做一个小项目,就没太重视这个方面,后来发现吃亏了。
这里有个诀窍,你可以做个表格,把每一项资源,可能遭受的破坏场景,以及对应的影响都列出来,这样看起来就比较清楚直观,就像整理柜子的时候把东西分类一样。
容易忽视的点我必须得和你说。
很多人只看信息系统当前的规模和状态,就定等级了。
但是呢,你得考虑未来的发展啊!如果这个系统还有扩充功能的计划、将有更多用户数增加等等,这些发展的预估一定要加进去考虑。
我当时就是这样,没考虑长远,差点就要重新定级,那就麻烦了。
特殊情况也有不少。
比如说有一些信息系统可能在不同地域有不同用户或者不同功能单元。
这种情况下,你不能一概而论。
得分别分析每个部分的重要性和影响程度,可能最终定出来各级别的组合。
比如说某个大型企业,它总部和海外分部的安全需求不一样,有些敏感数据在国内总部的重要性更高,那就不能把总部和分部的等级定一样。
总结要点哈。
首先信息系统的组成部分都得全面分析;确定等级时考虑多方面影响程度很重要而且要有前瞻性;特殊情况特殊对待,不能一套标准适用于所有细分模块。
希望我讲的这些能对你在信息系统等级保护等级定级方面有点帮助哈。
等级保护定级指南
为什么要实施等级保护毒
3Q大战
荆州市商务局
沧州电信泄密
网站篡改
敏感数据泄密
钓鱼网站
假冒的中国工商银行网站
真正的中国工商银行网站
扬州市城乡建设局网站(/)
我们身边的重大安全事件案例
• 深圳市10万孕妇信息泄露 1.2万元一张光盘 贩卖 怀疑卫生局、计生委 • 广东电网珠海供电局无人值守终端向互联 网扫描 导致GDCERT告警 • 广州市政府机关网络信息中心UPS电池火 灾 瘫痪72小时 • 广州市越秀区教育局门户网站域名过期抢 注变色情网站 • 广州市破获省人事厅网站被入侵案,带破 福建省建设信息网等10多起黑客入侵案件 。
受到破坏时侵害了什 么?(客体) • 公民、法人 • 社会秩序、公共利益 • 国家安全
信息系统安全保 护等级
系统服务范围 业务服务保 证性 业务依赖程度
侵害的程度如何? (对客体造成侵害 的程度) • 一般损害 • 严重损害 • 特别严重损害
等级保护组合可能性
安全等级
第一级 第二级 第三级 S1A1G1 S1A2G2,S2A2G2,S2A1G2 S1A3G3,S2A3G3,S3A3G3,S3A2G3,S3A1G3
第二级
指导性保护
Байду номын сангаас第三级
监督性保护
国家安全
社会秩序和公共利益
损害
特别严重损害 强制性保护 专控性保护
国家安全 极端重要系 统
国家安全
严重损害
特别严重损害
定级三条件
• 具有唯一确定的安全责任单位 • 满足信息系统的基本要素 • 承载相对独立的业务应用
定级对象识别与划分
• 可能使定级要素赋值不同因素
– 可能涉及不同客体的系统。 – 可能对客体造成不同程度损害的系统。 – 处理不同类型业务的系统。 • • 本身运行在不同的网络环境中的系统。 分不开的系统,按照高级别保护。
信息系统安全等级保护定级备案)
第三部分 确定定级对象
三、识别和划分定级对象中的难点 ∘ 影响定级要素赋值产生不同的因素
∘ 系统所涉及的客体不同 ∘ 系统对客体造成的损害程度不同 ∘ 系统处理的业务类型不同
∘ 本身运行在不同的网络环境中的系统 ∘ 分不开的系统,按照高级别保护
第三部分 确定定级对象
四、系统边界的划分注意事项 ∘ 不同信息系统的共用设备一般是网络/边界设
第六部分 评审、确定与审批
2. 信息系统安全保护等级的确定 业务信息安全保护等级的确定。 ◦ 第一步:简要描述信息系统所处理的主要 业务信息,包括各项业务的主要数据项有 哪些等。 ◦ 第二步:确定业务信息受到破坏后所侵害 的客体 ◦ 第三步:确定对客体的侵害程度 ◦ 第四步:查表确定业务信息安全等级
国家安全
特别严重损害 专门监督检查
第六部分 评审、确定与审批
第六部分:等级评审、确定与审批
信息系统等级评审 信息系统等级的确定与审批
第六部分 评审、确定与审批
定级报告
◦ 定级报告是为详细了解和掌握定级过程情况 由信息系统运营使用单位负责填写的文档。
◦ 定级报告要在信息系统备案时一并提交。
◦ 信息系统运营使用单位在起草定级报告时可 以请技术支持单位协助。
∘ 根据《关于开展全国重要信息系统安全等级保 护定级工作的通知》(以下简称《定级通知》) 要求:各行业主管部门要根据行业特点提出指 导本地区、本行业定级工作的指导意见。
第二部分 掌握实际情况
第二部分:掌握信息系统实际情况
认真调查,掌握信息系统实际情况
全面掌握信息系统(包括信息网络)的业务类型、 应用或服务范围、系统结构等基本情况,
第四部分 定级方法
信息安全
信息安全是指确保信息系统内信息的保密性、 完整性和可用性等;
档案信息系统安全等级保护定级工作指南
档案信息系统安全等级保护定级工作指南目录1.工作背景22.适用范围23.编制依据24.档案信息系统类型的划分35.档案信息系统的定级45.1档案信息系统的定级原则45.2档案信息系统安全保护等级的划分55.2.1受侵害客体55.2.2对客体侵害程度的划分55.2.3档案信息系统安全等级的划分65.3档案信息系统安全保护等级确定的方法65.3.1确定定级对象75.3.2确定受侵害的客体75.3.3确定对客体的侵害程度75.3.4确定档案信息系统的安全保护等级85.3.5编制定级报告106.评审107.备案与报备118.等级变更11附录1《信息系统安全等级保护定级报告》模版12附录2《信息系统安全等级保护备案表》141. 工作背景1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》规定,计算机信息系统实行安全等级保护,公安部主管全国计算机信息系统安全保护工作。
近年来,公安部会同有关部门组织制订了一系列有关计算机信息系统安全等级保护的规章和标准,加强了对重点行业信息系统安全等级保护工作的监督、检查和指导,并于2011年建立了54个行业主管部门参加的等级保护联络员制度,档案行业为其中之一。
随着档案信息化进程的不断加快,档案部门通过档案信息系统管理的数字档案资源越来越多,提高档案信息系统的安全防护能力和水平,已经成为加强档案信息安全管理、促进档案事业健康发展的一项重要内容。
为做好档案信息系统安全等级保护工作,国家档案局编制《档案信息系统安全等级保护定级工作指南》(以下简称《指南》),以指导档案信息系统安全等级保护的定级工作。
2. 适用范围本《指南》是档案信息系统安全等级保护定级工作的操作规范,适用于省级(含计划单列市、副省级市,下同)及以上档案行政管理部门及国家综合档案馆非涉密信息系统安全等级保护定级工作。
地市级档案局馆和其他档案馆可参照执行。
3. 编制依据本《指南》的编制主要依据以下标准、规范:●《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)●《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号)●《关于信息安全等级保护工作的实施意见》(公通字〔2004〕66号)●《信息安全等级保护管理办法》(公通字〔2007〕43号)●《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安〔2007〕861号)●《数字档案馆建设指南》(档办〔2010〕116号)●《各级国家档案馆馆藏档案解密和划分控制使用范围的暂行规定》(国家档案局、国家保密局1992年)●《计算机信息系统安全保护等级划分准则》(GB 17859—1999)●《信息安全技术信息安全事件分类分级指南》(GB/Z 20986—2007)●《信息安全技术信息系统安全等级保护定级指南》(GB/T 22240—2008)●《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239—2008)4. 档案信息系统类型的划分档案信息系统是指开展档案业务所使用的档案信息管理系统、档案信息服务系统和档案办公系统等三类信息管理系统。
教育行业信息系统等级保护定级指南
教育行业信息系统等级保护定级指南下载温馨提示:该文档是我店铺精心编制而成,希望大家下载以后,能够帮助大家解决实际的问题。
文档下载后可定制随意修改,请根据实际需要进行相应的调整和使用,谢谢!并且,本店铺为大家提供各种各样类型的实用资料,如教育随笔、日记赏析、句子摘抄、古诗大全、经典美文、话题作文、工作总结、词语解析、文案摘录、其他资料等等,如想了解不同资料格式和写法,敬请关注!Download tips: This document is carefully compiled by theeditor.I hope that after you download them,they can help yousolve practical problems. The document can be customized andmodified after downloading,please adjust and use it according toactual needs, thank you!In addition, our shop provides you with various types ofpractical materials,such as educational essays, diaryappreciation,sentence excerpts,ancient poems,classic articles,topic composition,work summary,word parsing,copy excerpts,other materials and so on,want to know different data formats andwriting methods,please pay attention!教育行业信息系统等级保护定级指南在信息化高度发展的今天,教育行业的信息安全问题日益凸显。
信息安全等级保护定级指南
信息安全等级保护定级指南The document was finally revised on 2021附件2信息系统安全保护等级定级指南(试用稿)公安部二〇〇五年十二月目次信息系统安全保护等级定级指南1范围本指南适用于为4级及4级以下的信息系统确定安全保护等级提供指导。
有关部门根据文件确定涉及最高国家利益的重要信息系统的核心子系统,该系统的安全保护等级定为5级,不再使用本指南的方法定级。
各行业信息系统的主管部门可以根据本指南制定适合本行业或部门的具体定级方法和指导意见。
2术语和定义下列术语和定义适用于本指南。
2.1 业务信息(Business Information)为完成业务工作而通过信息系统进行采集、加工、存储、传输、检索和使用的各种信息。
2.2 业务信息安全性(Security of Business Information)保证业务信息机密性、完整性和可用性程度的表征。
2.3 业务服务保证性(Assurance of Business Service)保证信息系统完成业务使命程度的表征。
业务使命可能因信息系统无法提供服务或无法提供有效服务而不能完成或不能按照要求的目标完成。
2.4 信息系统(Information System)基于计算机或计算机网络,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索和服务的人机系统。
2.5 业务子系统(Business Subsystem)由信息系统的一部分组件构成,是信息系统中能够承载某项业务工作的子系统。
3定级对象如果信息系统只承载一项业务,可以直接为该信息系统确定等级,不必划分业务子系统。
如果信息系统承载多项业务,应根据各项业务的性质和特点,将信息系统分成若干业务子系统,分别为各业务子系统确定安全保护等级,信息系统的安全保护等级由各业务子系统的最高等级决定。
信息系统是进行等级确定和等级保护管理的最终对象。
3.1 信息系统的划分一个组织机构内可能运行一个或多个信息系统,这些信息系统的安全保护等级可以是相同的,也可以是不同的。
教育行业信息系统安全等级保护定级工作指南
教育行业信息系统安全等级保护定级工作指
南
1. 教育行业信息系统安全等级保护定级工作指南旨在帮助教育行业信息系统管理者建立安全管理制度和体系,提高信息系统的安全等级。
2. 根据教育信息安全法规要求,确定教育行业信息系统的安全等级分类:低、中、高三个等级,并对其进行安全等级评估、安全审计和安全测试等。
3. 建立完善的信息安全管理体系,形成安全等级保护认证标准,建立教育行业信息系统安全审计、安全评估和安全测试等过程,严格确定安全等级保护认证标准。
4. 根据安全等级保护定级要求,制定教育行业信息系统安全规程和安全管理制度,如系统备份、用户身份认证、密码管理、加密技术应用和安全审计等。
5. 对教育行业信息系统的数据库进行全面安全评估,鉴定间接漏洞,如文件、表单等,分析攻击行为及其对数据库的影响;改进和管理系统的安全性,使信息系统的安全性能接近安全等级保护要求。
6. 落实安全性验证技术及标准,防止计算机病毒攻击、恶意代码攻击和拒绝服务攻击、偷窃信息或威胁数据安全,确保教育行业信息系统安全性等级达到定级要求。
7. 在日常运行安全管理工作中,进行安全风险评估,更新和改善安全系统,对不符合要求的信息系统做出有效的处理,确保教育行业信息系统安全等级保护定级要求持续有效地执行。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息安全等级保护定级指南
信息安全等级保护定级指南是指在信息安全保护工作中,根据信息系
统的风险等级和安全保护需求的不同,将信息系统划分为不同的等级,并
提出相应的安全保护要求和措施的一种指导性文件。
本文将围绕着信息安
全等级保护定级指南的定义、意义、原则和步骤进行详细的阐述。
一、定义
二、意义
信息安全等级保护定级指南的制定和实施,对于保障信息系统的安全、提高信息系统的抗攻击能力、保护用户的信息和利益具有重要意义。
通过
明确信息系统的安全等级,能够更好地指导信息系统的安全设计和实施,
提高信息系统的可用性、完整性和保密性。
三、原则
1.风险导向原则:依据信息系统的风险等级进行划分,确保安全措施
与实际风险相适应;
2.差异化原则:根据信息系统的不同特点和安全需求,进行差异化的
安全等级划分和保护要求;
3.综合考虑原则:综合考虑信息系统的敏感性、关键性、影响范围等
因素,确定安全等级和保护要求;
4.可操作性原则:确保安全等级划分和保护要求具有实施的可行性和
可操作性。
四、步骤
1.建立评估机构和评估标准:确定信息系统的评估机构和评估标准,
为信息系统的等级保护打下基础;
2.风险评估和等级划分:通过对信息系统进行风险评估,确定信息系
统的安全风险等级,并根据等级划分原则将信息系统划分为不同的等级;
3.安全保护要求和措施确定:对不同等级的信息系统,明确相应的安
全保护要求和措施,包括物理、技术和管理方面的措施;
4.编制指南和手册:编制信息安全等级保护定级指南和实施手册,对
安全等级划分、保护要求和措施进行详细说明;
5.定期评估和调整:对已划分等级的信息系统进行定期评估,根据实
际情况调整安全等级和保护要求,确保信息系统的安全能力与风险相适应。
总之,信息安全等级保护定级指南是一份重要的指导性文件,对于信
息系统的安全保护工作具有重要的指导作用。
只有通过明确安全等级、制
定相应的保护要求和措施,才能更好地提高信息系统的安全性和可靠性,
确保用户信息的保护和服务质量的提升。