信息安全等级保护体系解读
安全技术类
1.《信息系统等级保护安全设计技 术要求》 2.《信息安全技术网络基础安全技 术要求》(GB/T20270) 3.《信息安全技术信息系统安全通 用技术要求》(GB/T20271) 4.《信息安全技术信息系统物理安 全技术要求(GB/T21052) 5.《信息安全技术服务器安全技术 要求》(GB/T21028) 6.《信息安全技术操作系统安全技 术要求》(GB/T20272) 7.《信息安全技术数据库管理系统 安全技术要求》(GBT20273) 。。。。。。
信息安全产品
EAL1 EAL2 EAL3 EAL4 EAL5
信息安全事件
特别重大事件(I级) 重大事件(II级) 较大事件(III级) 一般事件(IV级)
信息系统安全保护等级的划分
等级 第一级 第二级
第三级
第四级 第五级
对象 一般系统
重要系统 极端重要系统
侵害客体
合法权益
合法权益
社会秩序和公 共利益
安全等级
现
方
状
信息安全等级保护
法
分
安全建设整改工作
指
析
导
安全要求
信息系统安全等级保护基本要求的行业细则
信息系统安全等级保护基本要求
信息系统 安全等级 保护实施 指南
信息系统 等级保护 安全设计 技术要求
技术类
信息系统通用安全技术要求 信息系统物理安全技术要求
网络基础安全技术要求 其它技术类标准
管理类
安全管理类
1.《信息安全技术信息系统安全管理 要求》(GB/T20269) 2.《信息安全技术信息系统安全工程 管理要求》(GB/T20282) 3.《信息技术安全技术信息安全事件 管理指南》(GB/Z20985) 4.《信息安全技术信息安全事件分类 分级指南》(GB/Z20986) 。。。。。。
等保2.0
• 为了适应移动互联、云计算、大数据、物联网和工业控制等新技术、新应用、情况下信息安全等级保护工作的开展, 需对GB/T 2239-2008进行修订
• 新等保系列标准目前主要有六个部分 GB/T 22239.1 信息安全技术 网络安全等级保护基本要求 第1部分 安全通用要求 GB/T 22239.2 信息安全技术 网络安全等级保护基本要求 第2部分 云计算安全扩展要求 GB/T 22239.1 信息安全技术 网络安全等级保护基本要求 第3部分 移动互联安全扩展要求 GB/T 22239.1 信息安全技术 网络安全等级保护基本要求 第4部分 物联网安全扩展要求 GB/T 22239.1 信息安全技术 网络安全等级保护基本要求 第5部分 工业控制安全扩展要求 GB/T 22239.1 信息安全技术 网络安全等级保护基本要求 第6部分 大数据安全扩展要求
《信息安全 等级保护备 案实施细则》 (公信安 [2007]1360 号)
《关于开展 信息安全等 级保护安全 建设整改工 作的指导意 见》(公信安 [2009]1429 号)
《关于加强国 家电子政务工 程建设项目信 息安全风险评 估工作的通知》 (发改高技 [2008]2071号)
《关于推动 信息安全等 级保护测评 体系建设和 开展等级测 评工作的通 知》(公信 安303号文)
信息系统运营、使用单位:
确定安全保护等级,安全保护的规划设计,定 级进行等保测评,建立信息安全事件应急响应 体系。
关于印发 《信息系统 安全等级测 评报告模版 (试行)》 的通知(公 信安 [2009]1487 号)
《公安机关 信息安全等 级保护检查 工作规范》 (公信安 [2008]736号)
《信息安全等级保护管理办法》(公通字[2007]43号)
《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)
社会秩序和公 共利益
国家安全
社会秩序和公 共利益
国家安全
国家安全
侵害程度 损害
严重损害 损害
严重损害 损害
特别严重损害 严重损害
特别严重损害
监管程度 自主保护 指导保护
监督检查
强制监督检查 专门监督检查
信息安全等级保护的政策和法律体
系
信息安全等级保护工作
定级
备案
整改
测评
检查
《关于开展 全国重要信 息系统安全 等级保护定 级工作的通 知》(公信 安[2007]861 号)
《中华人民共和国计算机信息系统安全保护条例》(国务院147 号令)
《国家信Байду номын сангаас化领导小组关于加强信息安全保障工作的意见》 (中办发[2003]27号)
信息安全等级保护技术和管理标准
体系
信息系统安全等级保护定级指南
信息系统安全等级保护基本要求的定级细则
信息系统 安全等级 保护测评 过程指南
信息系统 安全等级 保护测评 要求
信息安全等级保护体系解读
LOGO
内容概要
1
信息安全等级保护的定义
2
信息安全等级保护的内容
信息安全等级保护的定义
信息安全等级保护制度是我国信息安全工作保障工作的基本制度和基本国策,是开展 信息安全工作的基本方法,是促进信息化、维护国家信息安全的基本保障。
信息系统
第一级安全保护 第二级安全保护 第三级安全保护 第四级安全保护 第五级安全保护
信息安全等级保护工作的职责和角
色 公安机关:非涉密信息系统等级保护具体工
作的监督、检查、指导。 保密部门:涉密信息系统等保工作的监督、 检查、指导。 密码管理部门:密码工作的监督、检查、指 导。 国务院信息化工作办公室及地方信息化领导 小组办事机构:各部门间的工作协调。
行业主管部门:负责依照国家信息安全等级 保护的管理规范和技术标准,督促、检查和 指导本行业、本部门或者本地区信息系统运 营、使用单位的信息安全等级保护工作。
信息系统安全管理要求 信息系统安全工程管理要求
其它管理类标准
产品类
操作系统安全技术要求 数据库管理系统安全技术要求 网络和终端设备隔离部件安技术要求
其它产品类标准
计算机信息系统安全保护等级划分准则(GB17859)
信息安全等级保护所涉及的标准
通用类
1.《计算机信息系统安全等级保护划 分准则》(GB17859) 2.《信息系统安全等级保护实施指南》 (GB/T25058) 3.《信息安全技术信息系统安全等级 保护基本要求》(GB/T22239) 4.《信息安全技术信息系统安全保护 等级定级指南》(GB/T22240) 5.《信息安全技术信息系统安全等级 保护测评要求》 6.《信息安全技术信息系统安全等级 保护测评过程指南》 。。。。。。
