1、2内容信息安全等级保护的定义信息安全等级保护的工作内容3信息安全等级保护制度是我国信息安全工作保障工作的基本制度和基本国策,是开展信息安全工作的基本方法,是促进信息化、维护国家信息安全的基本保障。信息系统信息安全产品信息安全事件第一级安全保护第二级安全保护第三级安全保护第四级安全保护第五级安全保护EAL1EAL2EAL3EAL4EAL5特别重大事件(I级)重大事件(II级)较大事件(III级)一般事件(IV级)451995年1999年1994年中华人民共和国计算机信息系统安全保护条例(国务院147号令)规定,“计算机信息系统实行安全等级保护,安全等级的划分标准和安全保护的具体办法,由公安部会同
2、有关部门制定”。中华人民共和国警察法(法律依据)第二章第六条第十二款规定,“公安机关人民警察依法履行监察管理计算机信息系统的安全保护工作”。计算机信息系统安全保护等级划分准则 (GB17859)第一级:用户自主保护级第二级:系统审计保护级第三级:安全标记保护级第四级:结构化保护级第五级:访问验证保护级62003年国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号)明确指出“实行信息安全等级保护”;“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南。”2004年关于信息安全等级
3、保护工作的实施意见(公通字200466号)明确了开展信息安全等级保护工作的意义、具体的工作内容、各部门的职责分工及实施计划。2007年信息安全等级保护管理办法(公通字200743号)明确了信息安全等级保护具体的等级划分、定级、备案、整改、测评、检查等环节的具体工作要求和实施细则。2008年国家标准化管理委员会相断出台了信息安全等级保护的各项国家标准规范:信息安全等级保护定级指南(GB/T 22240)信息安全等级保护基本要求(GB/T 22239)等32项国家标准。7中华人民共和国计算机信息系统安全保护条例(国务院147号令)国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327
4、号)关于信息安全等级保护工作的实施意见(公通字200466号)信息安全等级保护管理办法(公通字200743号)关于开展全国重要信息系统安全等级保护定级工作的通知(公信安2007861号)信息安全等级保护备案实施细则(公信安20071360号)关于开展信息安全等级保护安全建设整改工作的指导意见(公信安20091429号)关于加强国家电子政务工程建设项目信息安全风险评估工作的通知(发改高技20082071号)关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知(公信安303号文)关于印发信息系统安全等级测评报告模版(试行)的通知(公信安20091487号)公安机关信息安全等级保护检查工作规
5、范(公信安2008736号)信息安全等级保护工作定级备案整改测评检查8计算机信息系统安全保护等级划分准则(GB17859)信息系统安全等级保护定级指南信息系统安全等级保护基本要求技术类信息系统通用安全技术要求信息系统物理安全技术要求网络基础安全技术要求其它技术类标准管理类信息系统安全管理要求信息系统安全工程管理要求其它管理类标准产品类操作系统安全技术要求数据库管理系统安全技术要求网络和终端设备隔离部件安技术要求其它产品类标准信息系统安全等级保护基本要求的行业细则信息系统安全等级保护基本要求的定级细则信息系统安全等级保护测评过程指南信息系统等级保护安全设计技术要求信息系统安全等级保护实施指南信息
6、系统安全等级保护测评要求信息安全等级保护安全建设整改工作安全等级安全要求现状分析方法指导910通用类1.计算机信息系统安全等级保护划分准则(GB17859)2.信息系统安全等级保护实施指南(GB/T25058)3.信息安全技术信息系统安全等级保护基本要求(GB/T22239)4.信息安全技术信息系统安全保护等级定级指南(GB/T22240)5.信息安全技术信息系统安全等级保护测评要求6.信息安全技术信息系统安全等级保护测评过程指南。安全技术类1.信息系统等级保护安全设计技术要求2.信息安全技术网络基础安全技术要求(GB/T20270)3.信息安全技术信息系统安全通用技术要求(GB/T20271
7、)4.信息安全技术信息系统物理安全技术要求(GB/T21052)5.信息安全技术服务器安全技术要求(GB/T21028)6.信息安全技术操作系统安全技术要求(GB/T20272)7.信息安全技术数据库管理系统安全技术要求(GBT20273)。安全管理类1.信息安全技术信息系统安全管理要求(GB/T20269)2.信息安全技术信息系统安全工程管理要求(GB/T20282)3.信息技术安全技术信息安全事件管理指南(GB/Z20985)4.信息安全技术信息安全事件分类分级指南(GB/Z20986)。11行业主管部门:负责依照国家信息安全等级保护的管理规范和技术标准,督促、检查和指导本行业、本部门或者
8、本地区信息系统运营、使用单位的信息安全等级保护工作。公安机关:非涉密信息系统等级保护具体工作的监督、检查、指导。保密部门:涉密信息系统等保工作的监督、检查、指导。密码管理部门:密码工作的监督、检查、指导。国务院信息化工作办公室及地方信息化领导小组办事机构:各部门间的工作协调。测评机构:对信息系统和信息安全产品进行等级保护测评,出具测评结论。信息安全服务机构:协助信息系统运营、使用单位完成安全保护等级、安全需求分析、安全总体规划、实施安全建设和安全改造等。信息系统运营、使用单位:确定安全保护等级,安全保护的规划设计,定级进行等保测评,建立信息安全事件应急响应体系。信息安全产品供应商:开发符合等级
9、保护相关要求的信息安全产品,按照等级保护相关要求销售信息安全产品并提供相关服务。12定级备案整改测评检查信息安全等级保护工作流程1.确定信息系统的安全防护等级,形成定级报告。2.持定级报告到当地公安机关网监部门进行备案。3.参照信息系统当前等级要求和标准,对信息系统进行整改加固。4.委托具备测评资质的测评机构对信息系统进行等级测评,形成正式的测评报告。5.向当地公安机关网监部门提交测评报告,配合完成对信息安全等级保护实施情况的检查。13系统运维管理系统建设管理数据安全信息安全等级保护基本要求物理安全网络安全主机安全安全管理机构安全管理制度应用安全人员安全管理14由信息系统运营单位确定信息系统的
10、安全保护等级。1由运营单位业务部门确定实施信息安全等级保护的信息系统。2参照定级标准和流程获得信息等级的安全保护等级信息。3最终形成信息系统安全保护等级确认报告。151.确定定级对象2.确定业务信息安全受到破坏时所侵害的客体3.综合评定对客体的侵害程度4.业务信息安全等级(S)5.确定系统服务安全受到破坏时所侵害的客体6.综合评定对客体的侵害程度7.系统服务安全等级(A)8.定级对象的安全保护等级(SxAxGx)16业务信息安全保护等级矩阵表系统服务安全保护等级矩阵表1718由信息系统运营单位持定级报告到当地公安机关网监部门进行信息系统安全保护等级信息备案。1按照运营单位所在地确定受理备案的机
11、构(省公安厅/市公安局)。2由运营单位填写信息系统安全等级保护备案表格。3提交备案表格,获得备案回执信息(通过审核/限期整改)。1920按照信息系统已备案的等级信息,参照信息安全等级保护基本要求,组织开展差距分析及整改加固的相关工作。由信息系统运营单位开展自查及整改工作,不断完善信息安全等级保护的各项要求。委托具备测评资质的测评机构开展信息系统安全等级保护差距分析,配合运营单位完成整改及安全加固工作。21业务范围1.信息安全等级保护测评。2.信息系统安全等级保护定级,等级保护安全建设整改,信息安全等级保护宣传教育等工作的技术支持。3.信息安全风险评估。4.信息安全培训。5.信息安全咨询。6.信
12、息安全工程监理。不得从事的活动1.影响被测评信息系统正常运行,危害被测评信息系统安全。2.泄露知悉的被测评单位及被测评信息系统的国家秘密和工作秘密。3.故意隐瞒测评过程中发现的安全问题,或者在测评过程中弄虚作假,未如实出具等级测评报告。4.未按规定格式出具等级测评报告; 5.非授权占有、使用等级测评相关资料及数据文件; 6.分包或转包等级测评项目; 7.信息安全产品开发、销售和信息系统安全集成; 8.限定被测评单位购买、使用其指定的信息安全产品; 9.其他可能影响测评客观、公正和安全的活动。22232425委托具备测评资质的第三方测评机构,对已定级的信息系统进行信息安全等级保护测评,并出具正式
13、的测评报告和测评结论。1明确被测评系统的安全保护等级,制定测评方案和实施计划。2由运营单位配合完成测评过程中的人员访谈、配置检查、安全测试等工作。3出具最终的测评报告和测评结论(符合/基本符合/不符合)。26等级测评项目启动信息收集与分析工具和表单准备测评准备活动测评对象确定测评指标确定测评内容确定工具测评方法确定测评指导书开发测评方案编制方案编制活动现场测评准备现场测评和结果记录结果确认和资料归还现场测评活动单项测评结果判定单元测评结果判定整体测评风险分析等保测评结论形成测评报告编制报告编制活动沟通与洽谈27测评机构与信息系统运营单位签订测评委托合同,明确被测评的信息系统名称和安全保护等级,
14、确认测评实施范围。信息系统运营单位整理被测评系统的相关信息,填写测评机构提供的测评系统信息表格。根据运营单位提供的被测评系统的相关信息,由测评机构准备相应的安全测试工具和测试申请表格。2829根据已经了解到的被测系统信息,分析整个被测系统及其涉及的业务应用系统,确定出本次测评的测评对象。根据已经了解到的被测系统定级结果,确定出本次测评的测评指标。确定现场测评的具体实施内容。30测评指导书是具体指导测评人员如何进行测评活动的文件,是现场测评的工具、方法和操作步骤等的详细描述,编制与实际测评相关的测评指导书。测评方案是等级测评工作实施的基础,指导等级测评工作的现场实施活动。主要包括:项目概述、测评
15、对象、测评指标、测评工具的接入点以及单元测评实施等。313233测评机构与被测评单位双方在现场测评前就配合人员、所需资源、测评方案及实施计划的详细沟通与确认。现场测评主要包括人员访谈、文档审查、策略配置检查、工具测试和实地察看等五个方面,详细记录结果。将各单项测评项的结果与被测评单位的相关管理人员进行信息确认,在现场测评结束前返还测评过程中所需的各项管理文档和资料。34测评机构职责利用访谈、文档审查、配置检查、工具测试和实地察看的方法测评被测系统的保护措施情况,并获取相关证据。测评委托单位职责1.测评前备份系统和数据,并确认被测设备状态完好。 2.协调被测系统内部相关人员的关系,配合测评工作的
16、开展。 3.签署现场测评授权书。 4.相关人员回答测评人员的问询,对某些需要验证的内容上机进行操作。 5.相关人员确认测试前协助测评人员实施工具测试并提供有效建议,降低安全测评对系统运行的影响。 6.相关人员协助测评人员完成业务相关内容的问询、验证和测试。 7.相关人员对测评结果进行确认。 8.相关人员确认测试后被测设备状态完好。3536访谈文档审查配置检查工具测试测评人员与被测系统有关人员(个人/群体)进行交流、讨论等活动,获取相关证据,了解有关信息。1.检查基本要求中规定的必须具有的制度、策略、操作规程等文档是否齐备。2.检查是否有完整的制度执行情况记录,如机房出入登记记录、电子记录、高等
17、级系统的关键设备的使用登记记录等。3.对上述文档进行审核与分析,检查他们的完整性和这些文件之间的内部一致性。根据测评结果记录表格内容,利用上机验证的方式检查应用系统、主机系统、数据库系统以及网络设备的配置是否正确,是否与文档、相关设备和部件保持一致,对文档审核的内容进行核实。根据测评指导书,利用技术工具对系统进行测试,包括基于网络探测和基于主机审计的漏洞扫描、渗透性测试、性能测试、入侵检测和协议分析等。实地察看根据被测系统的实际情况,测评人员到系统运行现场通过实地的观察人员行为、技术设施和物理环境状况判断人员的安全意识、业务操作、管理程序和系统物理环境等方面的安全情况,测评其是否达到了相应等级
18、的安全要求。3738针对测评指标中的单个测评项,结合具体测评对象,客观、准确地分析测评证据,形成初步单项测评结果,单项测评结果是形成等级测评结论的基础。将单项测评结果进行汇总,分别统计不同测评对象的单项测评结果,从而判定单元测评结果。对单项测评结果的不符合项,采取逐条判定的方法,从安全控制间、层面间和区域间出发考虑,给出整体测评的具体结果,并对系统结构进行整体安全测评。39依据等级保护的相关规范和标准,采用风险分析的方法分析等级测评结果中存在的安全问题可能对被测系统安全造成的影响。在测评结果汇总的基础上,找出系统保护现状与等级保护基本要求之间的差距,并形成等级测评结论。输出正式的信息系统安全等级保护测评报告。4041公安机关网监部门定期对信息系统运营单位的信息安全等级保护实施情况进行检查和监督。1第三级信息系统每年一次;第四级信息系统每半年一次。2检查内容包括:定级备案情况、安全整改情况、安全管理制度建设和落实情况、测评实施情况等。3由公安机关网监部门出具检查报告或整改通知书。4243中国信息安全等级保护网
