当前位置:文档之家› 等级保护政策、流程、内容、定级介绍

等级保护政策、流程、内容、定级介绍


2 基本概念和含义
等级保护遵循的原则:
自主保护原则 重点保护原则 同步建设原则 动态调整原则
2 基本概念和含义
工作实施过程中涉及到的角色和职责:
国家管理部门 信息系统主管部门 信息系统运营、使用单位 信息安全服务机构 信息安全等级测评机构 信息安全产品供应商
7 等级保护测评工作流程
测评方法 访谈 文档审查 配臵检查 工具测试
7 等级保护测评工作流程
测评后续要求
信息系统建设完成后,运营、使用单位选择符合规定条 件的测评单位,依据《信息系统安全等级保护测评要求 》等技术标准,定期开展等级测评服务; 第三级系统每年至少进行一次等级测评,第四级系统每 半年至少进行一次等级测评;
1 等级保护发展历程
2007年,公安部、国家保密局、国家密码管理局、国务 院信息化工作办公室(公通字[2007]43号)——《信息 安全等级保护管理办法》,(公信[2007]861号)—— 《关于开展全国重要信息系统安全等级保护定级工作的 通知》,开始在全国范围内开展信息安全等级保护工作。 2010年10月15日,第十七届中央委员会第五次全体会议 中提出的十二五规划中要求“健全网络与信息安全法律 法规,完善信息安全标准体系和认证认可体系,实施信 息安全等级保护、风险评估等制度”。 2012年7月17日,国务院办公厅(国发[2012]23号)—— 《国务院关于大力推进信息化发展和切实保障信息安全 的若干意见》,要求“落实信息安全等级保护制度,开 展相应等级的安全建设和管理,做好信息系统定级备案、 整改和监督检查”。
2 基本概念和含义
信息安全等级保护是指对国家秘密信息、法人和其他组 织及公民的专有信息以及公开信息和存储、传输、处理 这些信息的信息系统分等级实行安全保护(五级),详 细分级依据请见《GBT 22240-2008 信息安全技术 信息 系统安全等级保护定级指南》中描述;
对信息系统中使用的信息安全产品实行按等级管理; 对信息系统中发生的信息安全事件分等级响应、处臵.
测评依据的相关标准体系
可以从多个角度来分析—— A、从基本分类角度来看,分为:基础类标准、技术类 标准、管理类标准; B、从等级保护生命周期看,分为:系统定级用标准、 安全建设用标准、等级测评用标准、运行维护用标准、 通用标准; C、从对象角度看,分为:基础标准、系统标准、产品 标准、安全服务标准、安全事件标准等。
信息安全等级保护基本介绍
河南天祺信息安全技术有限公司
信息安全系统等级保护
1
2 3 4 信息安全等级保护发展历程
等级保护的基本概念和含义 等级保护和测评的作用
等级保护主要工作内容
5
6
等级保护主要工作流程 等级保护定级工作流程
信息安全系统等级保护
7 8 9 10 11 等级保护测评工作流程 等级保护安全建设内容 等级保护监督检查内容 测评具体工作过程 建设整改工作指南
8 等级保护安全建设内容
安全建设
在信息系统安全保护等级确定以后,系统运营单位和使 用单位开展系统安全建设和改建工作,通常包括安全需 求分析、总体安全设计、详细安全设计、安全设施实现 和安全运行与维护等工作。
9 等级保护监督检查内容
监督检查
公安机关负责信息安全等级保护工作的督促、检查、指 导; 受理备案的公安机关对第三级信息系统的运营、使用单 位每年至少检查一次,对第四级每半年检查一次; 公安机关检查发现不符合有关管理规范和技术标准的, 发出整改通知并进行整改。
10 测评具体工作过程
方案编制过程
测评对象确定 :根据已经了解到的被测系统信息,分析 整个被测系统和各测评业务系统,确定出本次测评的测 评对象。 测评指标确定 :根据已经了解到的被测系统定级结果, 确定出本次测评的测评指标。 测评内容确定 :确定现场测评的具体实施内容,包括单 元测评和系统测评。 测评实施手册开发:测评实施手册制定,包括指导测评 人员如何进行测评活动,及现场测评的工具、方法和操 作步骤等的详细描述。 测评方案编制 :完成测评方案编制,方案包括:项目概 述、测评对象、测评指标、测评工具的接入点、单元测 评实施、系统测评实施以及配套的测评实施手册。
1 等级保护发展历程
1994年,国务院147号令——《中华人民共和国计算机 信息系统安全保护条例》 2003年,中央办公厅、国务院(中办发[2003]27号)— —《国家信息化领导小组关于加强信息安全保障工作的 意见》 2004年,公安部、国家保密局、国家密码管理局、国务 院信息化工作办公室(公通字[2004]66号)——《关于 信息安全等级保护工作的实施意见》 2006年,公安部开展信息安全等级保护试点工作,制定 《计算机信息安全等级划分准则》(GB17859-1999)
分析与报告编制过程
系统整体测评分析 :从安全控制间、层面间和区域 间出发考虑,给出系统整体测评的具体结果和结论 ,并对系统结构进行整体安全测评。 测评报告编制 :经过评审和确认的被测系统等级测 评报告。
10 测评具体工作过程
整改后测评和残余风险评估
首次测评完成后,需将发现问题及整改意见回馈给 被测评方。得到确认后,需给被测评方预留一段整 改时间,进行整改。 被测评方整改完成后,本公司测评人员对被测系统 进行整改后测评,主要针对首次测评中发现问题的 整改情况测评。 如果有些问题不能进行整改或整改后会造成较大的 损失,针对此问题被测评方可不进行整改,本公司 测评人员为被测评方提供此类问题的残余风险评估 ,将在测评报告中体现最终整改后的测评结果和残 余风险评估等信息。
4 主要工作内容
工作实施过程中涉及到的角色和职责:
系统定级 系统备案 安全建设 等级测评 监检查
5 等级保护主要工作流程
业务流程
备案
测评申请
信息系统
•不合格项整改 •整改后测评
测评
测评准备
6 等级保护定级工作流程
定级流程
4 定级备案
报公安部门定级备案
3 评审
公安或信息化行政部门组织评审定级
3 等保测评作用
工作实施过程中涉及到的角色和职责: 在信息系统建设、整改时,信息系统运营使用单位通过 等级测评进行安全需求分析,确定系统的特殊安全需求 。信息系统等级保护基本安全要求与确定的特殊安全需 求共同确定了该系统的安全需求。 在系统运维过程中,定期委托测评机构开展等级测评, 对信息系统安全等级保护状况、安全保障性能进行安全 测试,对信息安全管控能力进行考察和评价,从而判定 是否具备《信息系统安全等级保护基本要求》中相应等 级安全保护能力。 等级测评报告是信息系统后期开展整改加固的重要指导 性文件,也是信息系统备案的重要附件材料。等级测评 结论是信息系统满足要求程度的证明文件。
总则
工作流程
第一步:制定信息系统安全建设整改工作规划,对 信息系统安全建设整改工作进行总体部署; 第二步:开展信息系统安全保护现状分析,从管理 和技术两个方面确定信息系统安全建设整改需求; 第三步:确定安全保护策略,制定信息系统安全建 设整改方案; 第四步:开展信息系统安全建设整改工作,建立并 落实安全管理制度,落实安全责任制,建设安全设 施,落实安全措施; 第五步:开展安全自查和等级测评,及时发现信息 系统中存在安全隐患和威胁,进一步开展安全建设 整改工作。
10 测评具体工作过程
测评实施过程
测评实施准备 :实施现场测评的启动过程,确认更 新后的测评计划和测评程序,确认授权委托书。 现场测评和结果记录:通过访谈、文档审查、配臵 检查、工具测试和实地察看,对技术安全和管理安 全测评的测评结果记录。 结果确认和资料归还 :测评结果记录。
10 测评具体工作过程
测评依据的基本要求
《GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求》
参照: 《GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求》 《GB/T 20270-2006 信息安全技术 网络基础安全技术要求》 《GB/T 20272-2006 信息安全技术 操作系统安全技术要求》 《GB/T 20273-2006 信息安全技术 数据库管理系统安全技术要求》 《GB/T 21028-2007 信息安全技术 服务器安全技术要求》 《GA/T 671-2006 信息安全技术 终端计算机系统安全等级技术要求》 测评依据的测评要求 《信息安全技术 信息系统安全等级保护测评要求》
11 建设整改工作指南
总则 安全管理制度建设 安全技术措施建设
总则
工作目标
通过落实安全责任制,开展管理制度建设、技术措 施建设,落实等级保护制度的各项要求,使信息系 统安全管理水平明显提高,安全保护能力明显增强 ,安全隐患和安全事故明显减少,有效保障信息化 健康发展,维护国家安全、社会秩序和公共利益。
7 等级保护测评工作流程
测评依据的主要标准 实施指南
《信息安全技术 信息系统安全等级保护实施指南》 (报批稿)
定级指南
《GBT 22240-2008 信息安全技术 信息系统安全等级 保护定级指南》
划分准则
《GB 17859-1999 计算机信息系统安全保护等级划分 准则》
7 等级保护测评工作流程
10 测评具体工作过程
测评报告备案
将最终的测评报告和首次测评后的整改问题汇总的 纸版文档一并提交给之前定级备案的公安机关(省 公安厅或各市公安局)进行最终备案。
10 测评具体工作过程
配合工作内容
测评小组指导下填写信息系统基本情况调查表; 确定项目协调人员、项目配合人员; 根据需要安排会议场地,组织项目会议所需参加的 会议人员; 提供测评小组临时办公场地; 明确项目授权签字、测评记录结果确认签字资格和 工具扫描与渗透测试授权签字权利资格; 在测评期间如果需要查看相关制度记录,请确认授 予相关资料查询权限; 提供测评小组进出相关检测场地的出入权限; 如果因测评项目具体需要,请准予提供相关服务, 例如在工具扫描时需要分配网线接口,临时分配合 法IP等; 其他相关事宜。
相关主题